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在 科教 兴国 方针 的 指引 下 ,我 国 高 等 教育 进入 了 一 个 新 的 历史 
发 展 时 期 ,招生 规模 和 在 校生 数量 都 有 了 大 幅度 的 增长 。 我 们 在 进 
行 着 世界 上 规模 最 大 的 高 等 教育 。 与 此 同时 ,对 于 高 等 教育 的 研究 
和 认识 也 在 不 断 深化 。 高 等 学 校 要 明确 自己 的 办 学 方向 和 办 学 特 
色 , 这 既是 不 断 提高 高 等 教育 水 平 的 必然 要 求 ,更 是 高 校 不 断 发 展 
和 壮大 必须 首先 考虑 的 问题 。 

教育 部 领导 明确 提出 ,高 等 教育 应 多 元 化 ,高 等 院 校 应 实施 分 
类 分 层次 教学 ,这 是 高 等 教育 大 众 化 的 必然 结果 ,也 是 市 场 对 人 才 
需求 的 客观 规律 所 致 。 因 此 要 有 相当 部 分 的 高 等 院 校 致力 于 培养 
应 用 型 人 才 。 此 类 院 校 在 计算 机 教学 中 如 何 实 现 自己 的 培养 目标 ， 
如 何 选择 适用 的 应 用 型 教材 ,已 成 为 十 分 重要 和 迫切 的 任务 。 应 用 
型 人 才 的 培养 不 能 简单 照搬 研究 型 人 才 的 培养 模式 ,要 在 丰富 的 实 
践 基础 上 认真 总 结 ,摸索 新 形势 下 的 教学 规律 ,在 此 基础 上 设计 相 
关 课 程 、 改 进 教学 方法 ,同时 编写 与 之 相 适 应 的 应 用 型 教材 。 这 一 
工作 是 非常 艰巨 的 ,也 是 非常 有 意义 的 。 

在 清华 大 学 出 版 社 的 大 力 支持 和 配合 下 ,应 用 型 教材 编 委 会 于 
2003 年 成 立 。 编 委 会 汇集 了 众多 高 等 院 校 的 实践 经 验 ,并 经 过 集中 
讨论 和 专家 评审 , 送 选 了 一 批 优秀 教材 ,希望 能 够 通过 这 套 教材 的 
出 版 和 使 用 ,促进 应 用 型 人 才 培 养 的 实践 发 展 ,为 建立 新 的 人 才 培 
养 模式 作出 贡献 。 

我 们 编写 应 用 型 教材 的 主要 出 发 点 是 : 

1. 适应 新 形势 下 教育 部 对 高 等 教育 的 要 求 以 及 市 场 对 应 用 型 
人 才 的 需求 。 

2. 计算 机 科学 技术 和 信息 技术 发 展 迅速 ,教材 内 容 和 教学 方式 
应 与 之 相 适 应 ,适时 地 进行 更 新 和 改进 。 

3. 教育 技术 的 发 展 对 教材 建设 提出 了 更 高 的 要 求 ,教材 将 呈现 
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出 纸 介 质 出 版 物 、 电 子 课 件 以 及 网 络 学 习 环 境 等 相互 配合 的 立体 化 形态 。 

4. 根据 不 同 的 专业 要 求 ,突出 应 用 ,使 理论 与 实践 更 加 紧密 结合 。 

以 此 为 目标 ,我 们 将 努力 编写 一 大 全 新 的 、 有 实用 价值 的 应 用 型 计算 机 教材 。 经 过 
参 编 教师 的 努力 ,第 一 批 教材 已 经 面世 。 教 材 将 滚动 式 地 不 断 更 新 、 修 正 、 提 高 ,逐渐 树 
立 起 自己 的 品牌 。 希 望 使 用 本 系列 教材 的 广大 师 生 能 对 我 们 的 教材 提出 宝贵 的 意见 , 共 
同 建 设 具 有 应 用 型 特色 的 精品 教材 。 


朱 敏 
2006 年 5 月 
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在 21 世纪 ,计算 机 网 络 尤其 是 Internet 技术 已 经 改变 了 人 们 的 
生活 、 学习、 工作 乃至 思维 方式 ,但 随 之 而 来 的 各 种 有 关 网 络 安全 问 
题 也 时 时 刻 刻 在 困扰 着 网 络 上 的 每 个 用 户 和 网 络 运行 的 管理 者 , 病 
毒 、. 黑 客 攻击 几乎 成 了 家 常 便 饭 , 人 们 离 不 开 网 络 ,对 网 络 是 既 爱 又 
恨 。 所 有 这 一 切 都 源 于 网 络 的 开放 体系 ,造成 了 网 络 安全 的 脆弱 。 
但 是 ,我 们 不 能 因 嘻 刻 食 , 既 然 我 们 的 工作 和 生活 离 不 开 网 络 , 那 我 
们 只 能 勇敢 的 面 对 , 针 对 出 现 的 各 种 威胁 网 络 安全 的 行为 , 拿 起 自 
卫 武器 ,来 捍卫 我 们 网 络 家 园 , 为 广大 的 网 络 用 户 营 造 一 个 安详 的 
网 络 应 用 环境 。 

本 书 参 考 教学 时 数 为 32 一 48 学 时 。 全 书 共 包括 8 章 : 第 1 章 
介绍 计算 机 网 络 安全 的 一 些 基本 概念 、 网 络 面临 的 各 种 安全 威胁 ， 
使 读者 对 计算 机 网 络 安 全 有 一 个 全 面 的 了 解 ; 第 2 章 介绍 了 网 络 安 
全 体系 以 及 TCP/IP 体系 下 的 安全 分 析 方 法 ;第 3 章 介绍 了 网 络 安 
全 的 策略 以 及 个 人 用 户 和 局 域 网 的 安全 措施 ;第 4 章 介绍 了 在 目前 
广泛 使 用 的 Windows、UNIX、Linux 三 种 操作 系统 安全 策略 的 实现 
方法 ;第 5 章 介绍 了 网 络 应 用 系统 所 采用 的 安全 技术 以 及 具体 的 实 
现 方法 ;第 6 章 介 绍 了 黑客 经 常 采用 的 攻击 方法 以 及 防范 措施 ;第 7 
章 介绍 了 网 络 安全 的 整体 构架 ;第 8 章 介 绍 了 典型 行业 网 络 安全 解 
决 方案 的 案例 。 

本 书 第 1 章 由 符 彦 惟 、 郝 培 华 编写 ;第 2 章 由 姜 申 炯 编 写 ; 第 3 
和 第 4 章 由 姜 黑 炯 、 符 放 惟 编写 ;第 5 章 由 李 军 华 、 符 彦 惟 编写 ;第 6 
和 第 8 章 由 符 放 惟 、 郝 培 华 编写 ,第 7 章 由 符 凑 惟 编写 。 全 书 由 符 庆 
惟 主编 ,并 随后 统 编 . 定 稿 。 

由 于 计算 机 网 络 安全 技术 发 展 非常 迅速 ,涉及 的 知识 面 广 ,加 
之 作者 水 平 有 限 , 书 中 难免 有 错漏 之 处 ,欢迎 广大 读者 批评 指正 。 
编写 过 程 中 参考 了 国内 外 相关 教材 ,并 得 到 了 锐 捷 网 络 公司 的 大 力 
支持 ,在 此 一 并 表示 诚挚 的 感谢 。 


编 者 
2008 年 1 月 
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第 工 音 ehapter | 
计算 机 网 络 安全 概述 


当今 人 们 在 享受 计算 机 网 络 给 工作 和 生活 带 来 的 各 种 便利 的 同时 ,也 承受 着 脆弱 的 
计算 机 网 络 安全 体系 带 来 的 困扰 和 损失 。 网 络 上 泛滥 的 病毒 .黑客 攻击 已 经 成 为 无 法 回 
避 而 且 有 必须 面 对 的 问题 。 随 着 计算 机 网 络 的 发 展 , 人 们 对 它 的 依赖 性 也 加 强 了 ,不 可 
能 为 了 逃避 网 络 安 全 带 来 的 各 种 商 端 而 放弃 它 。 因 此 ,只 有 积极 面 对 , 依 靠 计算 机 网 络 
安全 技术 的 发 展 ,才能 保证 生活 和 工作 中 的 损失 能 减少 到 最 低 程度 。 本 书 的 目的 就 是 让 
读者 了 解 网 络 安全 的 概念 ,给 读者 提供 一 些 目前 各 种 计算 机 网 络 运行 中 所 遇 到 的 安全 问 
题 的 解决 方法 ,让 读者 成 为 网 络 安全 管理 的 高 手 。 
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111 信任 与 网 络 安全 


“安全 "是 损伤 .损害 的 反义词 ,网 络 安全 的 含义 是 泛 指 网 络 环境 下 计算 机 系统 中 数 
据 的 损伤 性 变化 ( 即 网 络 环境 下 公开 的 数据 和 受 保 护 的 数据 遭 到 破坏 、 算 改 . 泄 露 . 删 除 
等 。 形 成 上 述 结果 的 方法 多 种 多 样 ,也 与 多 种 因素 有 关 )。 造 成 损伤 的 机 制 非常 复杂 ,这 
与 网 络 的 开放 性 有 很 大 关系 ,而 且 与 网 络 环境 下 的 用 户 关系 也 很 密切 。 因 此 ,网 络 安 全 
涉及 很 多 学 科 分 支 ,是 一 个 开放 性 复杂 问题 ,这 也 造成 了 网 络 安 全 定义 的 多 样 性 。 

网 络 安全 从 其 本 质 上 讲 就 是 网 络 上 的 信息 安全 , 它 涉及 的 领域 相当 广泛 。 这 是 因为 
在 目前 的 公用 通信 网 络 中 存在 各 种 各 样 的 安全 漏洞 和 威胁 。 从 广义 来 说 ,凡是 涉及 网 络 
上 信息 的 保密 性 、 完 整 性 、 可 用 性 、 真 实 性 和 可 控 性 的 相关 技术 和 理论 ,都 是 网 络 安 全 所 
要 研究 的 领域 。 

网 络 安全 通用 的 定义 是 指 网 络 系统 的 硬件 .软件 及 其 系统 中 的 数据 受到 保护 ,不 会 
因 偶然 或 者 恶意 的 原因 遭 到 破坏 更改 .泄露 ,系统 连续 可 靠 正 常 地 运行 ,网 络 服务 不 
中 断 。 

从 用 户 ( 个 人 .企业 等 ) 的 角度 来 说 ,他 们 希望 涉及 个 人 隐私 或 商业 利益 的 信息 在 网 
络 上 传输 时 受到 机 密 人 性、 完整 性 和 真实 性 的 保护 ,避免 其 他 人 或 对 手 利 用 窃听 、 冒 多 、 算 
改 .抵赖 等 手段 对 用 户 的 利益 和 隐私 造成 损害 和 侵犯 ,同时 也 希望 当 用 户 的 信息 保存 在 
某 个 计算 机 系统 上 时 ,不 会 受到 其 他 非法 用 户 的 非 授权 访问 和 破坏 。 


Minats sin 


从 网 络 运行 和 管理 者 的 角度 来 说 ,他 们 希望 对 本 地 网 络 信 息 的 访问 、 读 写 等 操作 受 
到 保护 和 控制 ,避免 出 现 “ 陷 门 ”\ 病 毒 、 非 法 存 取 ,拒绝 服务 、 网 络 资源 非法 占用 和 非法 控 
制 等 威胁 ,制止 和 防御 来 自 网 络 “ 黑 客 " 的 攻击 。 

对 安全 保密 部 门 来 说 ,他 们 希望 对 非法 的 .有害 的 或 涉及 国家 机 密 的 信息 进行 过 滤 
和 防 堵 , 防 止 其 通过 网 络 泄露 ,从 而 避免 由 于 这 类 信息 的 泄密 对 社会 产生 危害 ,给 国家 造 
成 巨大 的 经 济 损失 。 

从 社会 教育 和 意识 形态 角度 来 讲 , 网 络 上 不 健康 的 内 容 会 对 社会 的 稳定 和 人 类 的 发 
展 造 成 阻碍 ,必须 对 其 进行 控制 。 

因此 ,网 络 安全 在 不 同 的 环境 和 应 用 中 会 得 到 不 同 的 解释 。 

(1) 运行 系统 安全 , 即 保证 信息 处 理 和 传输 系统 的 安全 ,包括 计算 机 系统 机 房 环境 的 
保护 ,法 律 .政策 的 保护 ,计算 机 结构 设计 上 的 安全 性 考虑 ,硬件 系统 的 可 靠 安全 运行 , 计 
算 机 操作 系统 和 应 用 软件 的 安全 ,数据 库 系 统 的 安全 ,电磁 信息 泄漏 的 防护 等 。 它 侧重 
于 保证 系统 正常 的 运行 ,避免 因为 系统 的 崩溃 和 损坏 对 系统 存储 、 处 理 和 传输 的 信息 造 
成 破坏 和 损失 ,避免 由 于 电磁 泄漏 产生 信息 泄漏 干扰 他 人 (或 受 他 人 干扰 ), 本 质 上 是 保 
护 系 统 的 合法 操作 和 正常 运行 。 

(2) 网 络 上 系统 信息 的 安全 ,包括 用 户 密码 鉴别 ,用 户 存 取 权 限 控制 ,数据 存 取 权限 、 
方式 控制 ,安全 审计 ,安全 问题 跟踪 ,计算 机 病毒 防治 ,数据 加 密 等 。 

(3) 网 络 上 信息 传播 的 安全 , 即 信息 传播 后 果 的 安全 ,包括 信息 过 滤 , 有 害 信息 的 过 
滤 等 。 它 侧重 于 防止 和 控制 非法 有害 的 信息 进行 传播 ,避免 公用 通信 和 网络 上 大 量 自 由 
传输 的 信息 失控 ,本 质 上 是 维护 道德 ,法律 或 国家 利益 。 

(4) 网 络 上 信息 内 容 的 安全 , 即 狭义 的 “信息 安全 ”。 它 侧重 于 保护 信息 的 保密 性 \ 真 
实 性 和 完整 性 。 避 免 攻击 者 利用 系统 的 安全 漏洞 进行 窃听 冒充 .诈骗 等 有 损 于 合法 用 
户 的 行为 ,本 质 上 是 保护 用 户 的 利益 和 隐私 。 

显而易见 ,网 络 安全 与 其 所 保护 的 信息 对 象 有 关 。 本 质 是 在 信息 安全 期 内 保证 其 在 
网 络 上 流动 时 或 者 静态 存放 时 不 被 非 授权 用 户 非法 访问 ,但 授权 用 户 却 可 以 访问 。 显 
然 , 网 络 安全 、 信 息 安 全 和 系统 安全 的 研究 领域 是 相互 交叉 和 紧密 相连 的 。 

本 书 所 研究 和 讨论 的 网 络 安全 的 含义 是 通过 各 种 计算 机 、 网 络 、 密 码 技术 和 信息 安 
全 技术 ,保护 在 公用 通信 和 网络 中 传输 、 交 换 和 存储 的 信息 的 机 密 性 、 完 整 性 和 真实 性 ,并 
对 信息 的 传播 及 内 容 具 有 控制 能 力 。 

其 实 , 对 上 述 网 络 安全 的 含义 进行 通俗 的 解释 , 即 是 网 络 安全 系统 要 解决 的 下 列 问 
题 : 谁 会 访问 数据 ? 用 户 可 以 访问 什么 资源 ? 何 时 访问 ? 这些 问 题 的 解决 取决 于 所 服务 
的 特定 组 织 ,因为 不 同 的 组 织 对 资源 赋予 的 信任 是 不 同 的 。 

信任 ,就 是 人 们 按 规定 行事 的 可 能 性 。 人 们 对 信任 的 理解 通常 是 赁 经 验 的 。 一 般 会 
认为 ,信任 只 能 存在 于 两 个 彼此 认识 的 人 之 间 。 信 任 一 个 完全 陌生 的 人 很 难 , 但 是 如 果 
经 过 一 段 时 间 的 了 解 后 ,也 许 就 能 建立 起 信任 关系 。 在 网 络 环境 中 ,对 信任 的 理解 会 有 
所 不 同 。 如 果 确 认 某 人 被 另 一 位 受到 信任 的 人 信任 ,即便 他 是 一 位 陌生 人 ,也 可 能 会 信 
任 他 。 这 种 认 知 成 为 了 SSL(secure sockets layer) 和 证 书 交 换 机 制 的 基础 。 

定义 信任 这 个 名 词 之 后 ,就 可 以 如 图 1-1 所 示 为 系列 资源 标 上 信任 等 级 ,从 最 可 信和 到 
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最 不 可 信 。 
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1-1 安全 区 域 示意 图 


1. 最 可 信 (most trusted) 


对 一 个 组 织 来 说 ,最 可 信任 的 网 络 资源 应 该 是 内 部 服务 器 、 域 控制 器 和 依附 于 网 络 
的 存储 设备 。 这 些 设备 只 能 被 很 少 的 确定 的 人 员 所 访问 。 


2. 不 可 信 (less trusted) 


这 类 资源 包括 内 部 用 户 和 远程 的 认证 用 户 。 为 了 工作 所 需 , 组 织 只 在 特定 级 别 上 信 
任 该 用 户 ,包括 内 部 和 远程 用 户 。 即 便 为 用 户 赋予 了 信任 ,有 些 人 还 是 会 利用 密码 来 做 
违规 操作 。 虽 然 大 多 数 员工 都 是 可 信 的 ,但 因为 滥用 特权 的 情况 仍然 存在 , 才 使 得 这 个 
群体 不 得 不 被 赋予 不 可 信和 级别 ,而 不 是 最 不 可 信 级 别 。 


3. 最 不 可 信 (least trusted) 


最 不 可 信 的 资源 和 用 户 应 该 是 Internet 服务 器 和 远程 的 未 认证 用 户 。 永 远 不 要 信 
任 一 个 Internet 服务 器 ,因为 要 确 知 隐藏 其 后 的 东西 是 很 难 的 ,这 也 是 为 什么 要 使 用 数 
字 证 书 的 原因 。 
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1. OSI 安全 体系 结构 的 安全 技术 标准 


国际 标准 化 组 织 在 它 所 制定 的 国际 标准 ISO 7498-2 中 描述 了 开放 系统 互 连 基 本 参 
考 模型 (OSD 安 全 体系 结构 的 5 种 安全 服务 ,各 服务 的 名 称 及 用 途 如 表 1-1 所 示 。 


2. 可 信 计 算 机 评估 标准 (trusted computer system evaluation criteria, TCSEC) 


在 美国 ,国际 计算 机 安全 中 心 (NCSC) 负 责 建 立 可 信 计 算 机 评估 标准 TCSEC。 
TCSEC 指出 了 一 些 安全 等 级 ,被 称 做 安全 级 别 , 它 的 范围 从 级 别 A 到 级 别 D, 其 中 人 是 
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最 高 级 别 。 高 级 别 在 低级 别 的 基础 上 提供 进一步 的 安全 保护 。 级 别 A、B 和 C 还 为 数字 
标明 了 子 级 别 ,各 级 别 的 名 称 及 描述 如 表 1-2 所 示 。 
表 1-1 服务 的 名 称 及 用 途 
服 务 用 途 
身份 验证 (Authentication) 身份 验证 是 证 明 用 户 及 服务 器 身份 的 过 程 
一 旦 用 户 身 份 被 验证 就 发 生 访问 控制 ,这 个 过 程 决定 用 户 可 以 使 
用 .浏览 或 改变 哪些 系统 的 资源 
这 项 服务 通常 使 用 加 密 技术 保护 数据 免 于 未 授权 的 泄露 ,可 避免 
被 动 威胁 
数据 完整 性 (Data integrity) 这 项 服务 通过 检验 或 维护 信息 的 一 致 性 ,避免 主动 威胁 
否认 是 指 否 认 参 加 全 部 或 部 分 事务 的 能 力 。 抗 否认 服务 提供 关 
于 服务 .过程 或 部 分 信息 的 起 源 证 明 或 发 送 证 明 


访问 控制 (Access control) 


数据 保密 (Data confidentiality) 


抗 否 认 (Non-reputation) 


表 1-2 可 信 计 算 机 系统 评价 准则 


级 别 名 称 描 述 例 平 
Al | 可 验证 的 安全 设计 人 Honeywll SCOMP 
提供 数据 隐藏 和 分 层 ,保护 层 与 层 之 间 的 所 有 | Honeywll、 Federal、 
Sl 交互 信息 Systems XTS-200 
Pe 支持 硬件 保护 ,内 存 区 域 被 虚拟 分 段 , 并 进行 严 | XENIX、 
隔 | 种 绝 作 天 全 你 把 格 保护 Honeywll MULTICS 


除 C2 的 保护 级 别 外 ,把 用 户 隔离 成 各 个 单元 


号 安全 保 -T Sys 
Bl | 标号 安全 保护 以 提供 进一步 的 保护 AT&T System V 
C2 | 访问 控制 保护 以 用 户 为 单位 的 存储 控制 ,广泛 的 审计 和 跟踪 ， Windows 2000.UNIX 


对 资源 ,数据 ,文件 和 进程 提供 系统 级 别 的 保护 
用 户 与 数据 分 离 , 不 区 分 用 户 群 ,以 用 户 组 为 
单位 

D | 最 小 保护 无 内 在 的 安全 保护 MS-DOS 


Cl | 选择 的 安全 保护 早期 的 UNIX 


3. 我 国 计 算 机 安全 等 级 划分 与 相关 标准 


对 信息 系统 和 安全 产品 的 安全 性 评估 事 关 国家 和 社会 安全 ,任何 国家 不 会 轻易 相信 
和 接受 由 别 的 国家 所 作 的 评估 结果 。 没 有 一 个 国家 会 把 事 关 本 国安 全 利益 的 信息 安全 
产品 和 系统 的 安全 可 信 性 建立 在 别人 的 评估 标准 、 评 估 体 系 和 评估 结果 上 。 为 保险 起 
见 ,通常 要 通过 本 国标 准 的 测试 才 被 认为 可 靠 。1989 年 公安 部 在 充分 借鉴 国际 标准 的 前 
提 下 ,开始 设计 和 起 草 法 律 和 标准 ,制定 了 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》( 以 
下 简称 为 《准则 刀 的 国家 标准 .并 于 1999 年 9 月 13 日 由 国家 质量 技术 监督 局 审查 通过 并 
正式 批准 发 布 ,已 于 2001 年 1 月 1 日 执行 。 

《准则 ;将 计算 机 信息 系统 安全 保护 能 力 划分 为 5 个 等 级 ,计算 机 信息 系统 安全 能 力 
随 着 安全 保护 等 级 的 增高 .逐渐 增强 。 各 级 别 的 描述 如 表 1-3 所 示 。 
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表 1-3 我 国 计 算 机 系统 安全 准则 等 级 
等 级 名 称 描 述 
它 的 安全 保护 机 制 使 用 户 具备 自主 安全 保护 的 能 力 ,保护 用 户 的 信息 免 
受 非法 的 读 写 破坏 
除 具备 第 一 级 所 有 的 安全 保护 功能 外 ,要 求 创建 和 维护 访问 的 审计 跟踪 
记录 ,使 所 有 的 用 户 对 自己 行为 的 合法 性 负责 
除 具 备 前 一 级 所 有 的 安全 保护 功能 外 ,还 要 求 以 访问 对 象 标记 的 安全 级 
别 限制 访问 者 的 访问 权限 ,实现 对 访问 对 象 的 强制 访问 
除 具 备 前 一 级 所 有 的 安全 保护 功能 外 ,还 将 安全 保护 机 制 划分 为 关键 部 
第 四 级 | 结构 化 保护 级 ”| 分 和 非 关 键 部 分 ,对 关键 部 分 可 直接 控制 访问 者 对 访问 对 象 的 存 取 , 从 
而 加 强 系 统 的 抗 渗透 能 力 
除 具备 前 一 级 所 有 的 安全 保护 功能 外 , 还 特别 增设 了 访问 验证 功能 , 负 
责 仲裁 访问 者 对 访问 对 象 的 所 有 访问 活动 


第 一 级 | 用 户 自主 保护 级 


第 二 级 | 系统 审计 保护 级 


第 三 级 | 安全 标记 保护 级 


第 五 级 | 访问 验证 保护 级 


113 网 络 安全 责任 


很 多 人 员 都 能 在 网 络 的 安全 建设 中 发 挥 作用 ,从 高 级 管理 者 到 日 常用 户 。 高 级 管理 
者 负责 推行 安全 策略 ,其 准则 是 “ 依 其 言 而 行事 , 勿 观 其 行 而 仿 之 (Do as I say, not as I 
do)”, 但 是 源 自 高 级 管理 者 的 策略 和 规则 往往 会 被 忽视 掉 。 如 果 想 让 用 户 参 与 到 安全 维 
护 的 工作 中 ,就 必须 让 其 相信 管理 者 是 非常 认真 严肃 的 。 用 户 不 仅 要 意识 到 安全 的 存 
在 ,而 且 要 知道 不 遵守 规则 可 能 导致 的 后 果 。 最 好 的 方式 是 提供 短期 安全 培训 讲座 ,大 
家 可 以 提问 题 并 进行 讨论 。 另 一 种 好 的 做 法 是 在 来 往 频繁 的 公共 场所 和 使 用 场所 张贴 
安全 警示 (例如 ,网 吧 或 者 机 房 ) 。 

需要 说 明 的 是 ,政府 现在 在 安全 方面 也 扮演 着 重要 的 角色 ,针对 诸如 无 线 和 IP 语音 
通信 这 样 一 些 新 兴 技 术 制 定 了 法 规 并 且 建 立 了 一 套 法 律 体系 就 是 很 好 的 表现 ,如 美国 政 
府 就 为 安全 决策 建立 了 法 律 要 求 。 

健康 保险 便利 及 责任 法 案 (healthcare insurance portability and accountability act， 
HIPAA) 限 制 了 对 带 有 个 人 身份 信息 的 健康 数据 的 披露 。 

金融 服务 业 现代 化 法 案 (Gramm-Leach-Bliley Act,GLB) 影 响 着 美国 的 金融 机 构 ,要 
求 其 向 客户 披露 隐私 策略 。 

电子 通信 隐私 法 案 (Electronic Communications Privacy Act,ECPA) 规 定 了 哪些 人 
可 以 在 什么 条 件 下 读 取 哪 些 人 的 电子 邮件 。 

注意 ; 以 上 列举 的 只 可 以 作为 一 种 参考 ,并 不 代表 全 部 。 


114 网 络 安全 目标 


网 络 安全 的 最 终 目 标 就 是 通过 各 种 技术 与 管理 手段 实现 网 络 信息 系统 的 可 靠 性 、 保 
密 性 ,完整 性 有 效 性 、 可 控 性 和 拒绝 否认 性 。 可 靠 性 (reliability) 是 所 有 信息 系统 正常 运 
行 的 基本 前 提 , 通 常 指 信息 系统 能 够 在 规定 的 条 件 与 时 间 内 完成 规定 功能 的 特性 。 可 控 
性 (controllability) 是 指 信息 系统 对 信息 内 容 和 传输 具有 控制 能 力 的 特性 。 拒 绝 否 认 性 


人 inksesaax 


(no-repudiation) 也 称 为 不 可 抵赖 性 或 不 可 否认 性 ,是 指 通信 双方 不 能 抵赖 或 否认 已 完成 
的 操作 和 和 承诺 ,利用 数字 签名 能 够 防止 通信 双方 否认 曾经 发 送 和 接收 信息 的 事实 。 在 多 
数 情况 下 ,网 络 安全 更 侧重 强调 网 络 信 息 的 保密 性 、 完 整 性 和 有 效 性 , 即 CIA。 


1. 保密 性 


保密 性 (confidentiality) 是 指 信息 系统 防止 信息 非法 泄露 的 特性 。 信 息 只 限于 授权 
用 户 使 用 ,保密 性 主要 通过 信息 加 密 、 身 份 认 证 、 访 问 控制 .安全 通信 协议 等 技术 实现 。 
信息 加 密 是 防止 信息 非法 泄露 的 最 基本 手段 。 事 实 上 ,大 多 数 网 络 安全 防护 系统 都 采用 
了 基于 密码 的 技术 ,密码 一 旦 泄露 ,就 意味 着 整个 安全 防护 系统 的 全 面 骨 溃 。 如 果 密 
码 以 明文 形式 传输 ,在 网 络 上 窃取 密码 是 一 件 十 分 简单 的 事情 。 保 护 密码 是 防止 信息 
泄露 的 关键 ,加 密 可 以 防止 密码 被 资 。 机 密 文件 和 重要 电子 邮件 在 Internet 上 传输 也 
需要 加 密 , 加 密 后 的 文件 和 邮件 如 果 被 动 持 ,虽然 多 数 加 密 算法 是 公开 的 ,但 由 于 没有 
正确 密 钥 进行 解密 ,劫持 的 密 文 仍然 是 不 可 读 的 。 此 外 ,机 密 文件 即使 不 在 网 络 上 传 
输 , 也 应 该 进行 加 密 ; 否 则 窃取 密码 后 就 可 以 获得 机 密 文件 ,而 且 对 机 密 文件 加 密 可 以 
提供 双重 保护 。 


2. 完整 性 


完整 性 (integrity) 是 指 信息 未 经 授权 不 能 改变 的 特性 。 完 整 性 与 保密 性 强调 的 侧重 
点 不 同 , 保 密 性 强调 信息 不 能 非法 泄露 ,而 完整 性 强调 信息 在 存储 和 传输 过 程 中 不 能 被 
偶然 或 蕾 意 修改 删除. 伪造、 添加 、 破 坏 或 丢失 ,在 存储 和 传输 过 程 中 必须 保持 原样 。 信 
息 完整 性 表明 了 信息 的 可 靠 性 、 正 确 性 有 效 性 和 一 致 性 ,只 有 完整 的 信息 才 是 可 信任 的 
信息 。 影 响 信 息 完整 性 的 因素 主要 有 硬件 故障 、 软 件 故障 、 网 络 故障 、 灾 害 事件 、 入 侵 攻 
击 和 计算 机 病毒 等 。 保 障 信 息 完整 性 的 技术 主要 有 安全 通信 协议 、 密 码 校 验 和 数字 签名 
等 。 实 际 上 ,数据 备份 是 防范 信息 完整 性 遭 到 破坏 时 最 有 效 的 恢复 手段 。 


3. 有 效 性 


有 效 性 (availability) 是 指 信息 资源 容许 授权 用 户 按 需 访问 的 特性 ,是 信息 系统 面向 
用 户 服 务 的 安全 特性 。 信 息 系统 只 有 持续 有 效 ,授权 用 户 才 能 随时 随地 根据 自己 的 需要 
访问 信息 系统 提供 的 服务 。 有 效 性 在 强调 面向 用 户 服 务 的 同时 ,还 必须 进行 身份 认证 与 


访问 控制 ,只 有 合法 用 户 才能 访问 限定 权限 的 信息 资源 。 一 般 而 言 ,如 果 网 络 信息 系统 
能 够 满足 保密 性 完整 性 和 有 效 性 三 个 安全 目标 ,在 通常 意义 下 就 可 认为 信息 系统 是 安 
全 的 。 


注意 : CIA 的 反义词 是 泄露 .得 改 和 拒绝 , 即 DAD(disclosure,alteration 和 denial)。 

网 络 管理 的 一 个 主要 安全 目标 是 衡量 安全 成 本 和 获 益 。 任 何 一 个 安全 系统 不 可 能 
绝对 安全 的 ,而 任何 系统 的 安全 保护 也 不 可 能 不 计 代 价 。 因 此 ,如 果 要 衡量 保护 某 个 实 
体 需 要 多 少 费用 ,无 论 是 存在 于 网 络 或 计算 机 中 的 数据 ,还 是 组 织 的 其 他 资产 ,都 需要 考 
虑 进行 风险 评估 。 一 般 来 说 ,组 织 的 资产 会 面临 多 种 风险 ,包括 设备 故障 .失窃 . 误 用 、 病 
毒 、 缺 陷 。 


# 例 = 计算 机 网 络 安全 概述 了 


评估 了 资产 以 及 与 之 相关 的 风险 之 后 ,还 需要 确定 风险 出 现 的 可 能 性 。 尽 管 有 很 多 
威胁 可 能 会 影响 到 应 用 系统 ,但 并 非 所 有 的 威胁 都 会 出 现在 现实 环境 中 。 例 如 , 住 在 地 
震 多 发 地 带 附近 ,地 震 的 可 能 性 就 很 大 ,但 住 在 几乎 从 没 发 生地 震 的 地 方 就 不 存在 这 种 
问题 。 为 此 ,必须 实施 切实 的 风险 评估 ,以 确定 对 于 特定 地 方 的 特定 资源 风险 的 可 能 性 。 
风险 一 年 中 出 现 的 可 能 性 确定 之 后 , 即 可 定义 所 谓 的 年 度 发 生 率 (annualized rate of 
occurrence,ARO) 。 

一 旦 计算 出 了 ARO ,就 可 以 将 其 与 资产 关联 的 货币 投入 相 比较 。 这 代表 了 一 旦 风 

伶 出 现 会 损失 多 少 钱 。ARO 包含 了 新 设备 的 价格 .替换 设备 所 需 的 人 工 费 用 以 及 员工 
on 最 终 计算 出 的 风险 所 示 值 被 叫做 单一 所 示 期 望 (single loss 
expectancy,SLE) 。 

为 了 应 对 可 能 的 风险 ,需要 为 风险 发 生 的 可 能 性 做 出 预算 。 为 此 ,可 以 用 ARO 乘 以 
SLE, 得 出 年 度 所 示 期 望 (annual loss expectancy,ALE)。 这 里 举 个 例子 ,一 台 Web 服务 
器 造成 其 次 痪 的 可 能 性 是 39% ,这 就 是 风险 的 ARO。 如 果 架 设 于 这 人 台 服 务 器 之 上 的 电 
子 商务 站 点 1 小 时 创造 的 价值 是 10 万 元 ,由 于 修复 系统 ,该 站 点 估计 会 停工 两 小 时 , 风 
险 损失 就 是 20 万 元 。 除 了 这 个 损失 ,还 有 替换 服务 器 所 带 来 的 成 本 ,如 果 服 务 器 价值 6 
万 元 ,就 会 将 总 成 本 增加 到 26 万 元 ,这 就 是 风险 的 SLE。 将 ARO 与 SLE 相 乘 ,就 会 得 
出 需要 为 此 风险 做 出 的 预算 了 。 


12 网 络 泌 洞 及 安全 隐患 


计算 机 网 络 的 开放 性 以 及 黑客 的 攻击 是 造成 网 络 不 安全 的 主要 原因 ,而 利用 网 络 结 
构 缺 陷 而 造成 的 漏洞 是 黑客 能 突破 网 络 防护 进入 网 络 的 主要 手段 之 一 。 

科学 家 在 设计 网 络 之 初 就 缺乏 对 安全 性 的 总 体 构 想 和 设计 ,所 用 的 网 络 通信 协议 是 
建立 在 可 信 的 环境 之 下 。 例 如 ,TCP/IP 协议 主要 考虑 的 是 网 络 互 联 , 它 缺乏 对 安全 方面 
的 考虑 。 这 种 基于 地 址 的 协议 本 身 就 会 泄露 密码 ,而且 TCP/IP 协议 是 完全 公开 的 ,其 
远程 访问 的 功能 使 许多 攻击 者 无 须 到 现场 就 能 够 得 手 ,连接 的 主机 基于 互相 信任 的 原 
则 。 而 这 些 性 质 使 得 网 络 更 加 不 安全 。 


121 网 络 结构 带 来 的 风险 和 不 安全 因素 


计算 机 网 络 的 设计 缺陷 包括 以 下 两 方面 的 内 容 。 

(1) 物理 结构 的 设计 缺陷 。 局 域 网 采用 广播 式 网 络 结构 ,所 有 主机 发 送 的 信息 在 同 
一 个 网 络 中 的 其 他 主机 易 监 听 ; 广 域 网 和 Internet 上 的 中 继 设备 (如 路 由 器 ) 可 以 监听 所 
有 网 络 之 间 转 发 的 信息 。 

(2) 网 络 系统 的 漏洞 .协议 的 缺陷 与 后 门 。 一 些 网 络 协议 (如 TCP/IP 协议 ) 在 实现 
上 力求 实效 ,而 没有 过 多 地 考虑 安全 因素 ;网 络 操作 系统 过 于 庞大 ,存在 致命 的 安全 漏 
洞 ; 网 络 公司 为 了 达到 某 些 目的 ,在 系统 中 设 有 安全 后 门 也 造成 网 络 安全 的 隐患 。 
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1. 物理 网 络 结构 易 被 窃听 


计算 机 网 络 按 通信 信道 类 型 分 为 广播 式 网 络 和 点 对 点 网 络 ,这 两 种 网 络 都 存在 不 安 
全 问题 。 

1) 广播 式 网 络 的 安全 问题 

当今 大 多 数 局 域 网 采用 的 是 以 太 网 方式 ,以 太 网 上 的 所 有 设备 都 连 在 以 太 网 总 线 
上 ,它们 共享 同一 个 通信 通道 。 以 太 网 采用 的 是 广播 方式 的 通信 ,广播 式 通信 网 络 的 特 
点 是 在 该 种 通信 子 网 中 只 有 一 个 公共 通信 信道 ,为 所 有 节点 共享 使 用 , 任 一 时 刻 只 允许 
一 个 节点 使 用 公用 信道 。 当 一 个 节点 利用 公共 通信 信道 发 送 数据 时 ,必须 携带 目的 地 
址 。 网 络 上 所 有 的 设备 都 能 接收 到 每 一 个 信息 包 , 网 络 上 的 设备 通常 将 接收 到 的 所 有 包 
都 传 给 主机 界面 ,在 此 选择 计算 机 要 接收 的 信息 (如 选择 只 有 地 址 符合 本 站 点 的 信息 包 
才 接 收 ) ,并 将 其 他 的 过 滤 掉 。 以 太 网 最 有 效 传递 的 是 目标 主机 硬件 ,并 不 给 发 送 者 提供 
有 关 信 息 已 收 到 的 信息 ,即使 目标 计算 机 碰巧 关机 了 , 送 给 它 的 包 自 然 丢 失 ,但 发 送 者 并 
不 会 知道 这 一 点 。 

很 多 网 络 (包括 Internet) 其 实 就 是 把 无 数 的 局 域 网 连 起 来 形成 一 个 大 的 网 ,然后 再 
把 大 的 网 连 成 更 大 的 网 。 虽 然 网 络 上 的 传输 是 点 对 点 的 ,但 一 般 网 络 上 的 主机 都 会 处 于 
一 个 局 域 网 中 。 例 如 ,清华 开放 实验 室 是 一 个 局 域 网 , 它 连 到 了 校园 网 ,又 连 到 了 中 国教 
育 科研 网 (CERNET) ,中 国教 育 科研 网 又 连接 到 国外 。 局 域 网 (如 以 太 网 、 令 牌 网 ) 都 是 
广播 型 网 络 , 也 就 是 说 一 台 主 机 发 布 消息 ,网 上 任何 一 台 机 器 都 可 以 收 到 这 个 消息 。 在 
一 般 情况 下 ,以 太 网 卡 在 收 到 发 往 别人 的 消息 时 会 自动 丢弃 消息 ,而 不 向 上 层 传递 消息 。 
但 以 太 网 卡 的 接收 模式 可 以 设置 成 混合 型 (promiscuous) ,这 样 网 卡 就 会 捕捉 所 有 的 数据 
包 , 并 把 这 些 数据 包 向 上 传递 。 这 就 是 为 什么 以 太 网 可 以 被 窃听 ,其 实 FDDI\ 令 牌 网 也 
存在 这 样 的 问题 。 

2) 点 对 点 网 络 的 安全 问题 

Internet 和 大 部 分 广域网 采用 点 对 点 方式 通信 ,在 该 种 类 型 网 中 ,任何 一 段 物理 链 路 
都 唯一 连接 一 对 节点 。 如 果 不 在 同一 段 物 理 链 路 的 一 对 节点 要 通信 ,必须 通过 其 他 节点 
进行 分 组 转发 。 进 行 分 组 转发 的 节点 就 可 以 窃听 。 

在 Internet 上 的 信息 容易 被 窃听 和 劫 获 的 另 一 个 原因 是 , 当 某 人 用 一 台 主 机 和 国外 
的 主机 进行 通信 时 ,它们 之 间 互 相 发 送 的 数据 包 是 经 过 很 多 机 器 (如 路 由 器 ) 层 层 转发 
的 。 例 如 ,用 户 在 清华 开放 实验 室 的 一 台 主 机 上 访问 Hotmail 主机 ,用 户 的 数据 包 要 经 
过 开放 实验 室 的 路 由 器 清华 校园 网 的 路 由 器 和 中 国教 育 科 研 网 上 的 路 由 器 ,然后 从 中 
国教 育 科研 网 的 总 出 口 出 国 , 再 经 过 很 多 网 络 和 路 由 器 才能 到 达 Hotmail 主机 。 具 体 要 
经 过 多 少 主机 、 路 由 器 和 网 络 , 可 以 用 一 个 网 络 调试 工具 查 到 ,这 个 工具 就 是 tracert 命 
令 。 这 个 命令 在 各 种 操作 系统 中 都 有 ,如 Windows 95、Windows NT 和 UNIX, 名 字 上 可 
能 会 有 所 差异 ,但 功能 和 实现 上 是 一 样 的 。Internet 的 这 种 工作 原理 不 仅 节约 了 资源 ,而 
且 简 化 了 传输 过 程 的 实现 ,符合 TCP/IP 简单 高 效 的 宗旨 ,但 这 也 给 安全 上 带 来 了 问题 。 
当然 用 户 不 可 能 为 了 安全 而 放弃 这 种 方法 ,因为 这 样 做 是 不 实际 的 ,也 是 不 必要 的 。 用 
户 所 能 做 的 应 该 是 意识 到 这 种 问题 ,并 以 其 他 办 法 来 提高 安全 性 ,如 采用 数据 加 密 的 方 
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法 。 回 到 安全 这 个 主题 上 来 , 当 黑 客 使 用 一 台 处 于 用 户 数 据 包 传输 路 径 上 的 主机 时 ,他 
就 可 以 窃听 或 动 持 用 户 的 数据 包 。 例 如 ,处 于 中 国教 育 科研 网 出 口 的 一 台 机 器 可 以 监听 
所 有 从 这 个 网 络 出 国 的 数据 包 。 举 一 个 简单 的 例子 ,在 配 有 电话 交换 机 的 单位 ,单位 里 
所 有 的 电话 都 要 经 过 单位 的 总 机 ,如 果 总 机 并 不 是 程控 的 ,而 是 人 工 接线 的 ,那么 接线 员 
极 易 窃 听 别 人 的 电话 ,这 就 类 似 刚 才 讲 的 网 络 窃 听 。 网 络 窃听 可 能 是 出 于 好 奇 , 也 可 能 
是 出 于 恶意 。 现 在 越 来 越 多 的 黑客 不 再 是 喜欢 破坏 公物 的 人 ,而 是 商业 间谍 ,所 以 网 络 
安全 是 把 Internet 真正 推 向 商业 化 所 必须 要 考虑 和 解决 的 问题 。 

3) 传输 线路 质量 与 安全 问题 

尽管 在 同 轴 电 绕 微波 或 卫星 通信 中 要 窃听 其 中 指定 一 路 的 信息 是 很 困难 的 ,但 是 
从 安全 的 角度 来 说 ,没有 绝对 安全 的 通信 线路 。 

同时 ,无论 采 用 何 种 传输 线路 , 当 线 路 的 通信 质量 不 好 时 ,将 直接 影响 联网 效果 , 严 
重 的 时 候 甚至 导致 网 络 中 断 。 例 如 ,以 市 内 电话 线路 作为 传输 线路 时 , 主要 电气 指标 如 
直流 电气 性 能 指标 ( 环 阻 绝缘 电阻 ); 交 流 特性 (线路 误 耗 线路 衰 耗 交流 频率 特征 ); 交 
流 特性 阻抗 的 好 坏 直 接 影响 网 络 通信 质量 。 当 通信 线路 中 断 时 ,计算 机 网 络 也 就 中 断 
了 ,这 种 情况 还 比较 明显 。 而 当 线 路 时 通 时 断 、 线 路 衰 耗 大 或 杂音 严重 时 ,问题 就 不 那么 
明显 ,但 是 对 通信 网 络 的 影响 却 是 相当 大 ,可 能 会 严重 地 危害 通信 数据 的 完整 性 。 为 保 
证 好 的 通信 质量 和 网 络 效果 ,就 必须 要 有 合格 的 传输 线路 ,如 在 干线 电缆 中 应 尽量 挑选 
最 好 的 线 作为 计算 机 联网 专线 ,以 得 到 最 佳 的 效果 。 


2. TCT/IP 网 络 协议 的 设计 缺陷 


网 络 通信 的 基础 是 协议 。TCP/IP 协议 是 目前 国际 上 最 流行 的 网 络 协议 ,该 协议 在 
实现 上 因 力 求实 效 , 而 没有 考虑 安全 因素 。 因 为 如 果 考虑 安全 因素 太 多 ,将 会 增 大 代码 
量 , 从 而 会 降低 TCP/IP 的 运行 效率 ,所 以 说 TCP/IP 本 身 在 设计 上 就 是 不 安全 的 。 

下 面 是 现存 的 TCP/IP 协议 的 一 些 安全 缺陷 。 

1) 容易 被 窃听 和 欺骗 

在 Internet 上 大 多 数 的 流量 是 没有 加 密 的 ,如 电子 邮件 密码 ,文件 传输 等 很 容易 被 
监听 和 支持 ,可 以 实现 这 些 行为 的 工具 很 多 ,而 且 这 些 工具 在 网 上 是 免费 提供 的 。 

2) 脆弱 的 TCP/IP 服务 

很 多 基于 TCP/IP 的 应 用 服务 都 在 不 同 程度 上 存在 着 不 安全 的 因素 ,这 很 容易 被 一 
些 对 TCP/IP 十 分 了 解 的 人 所 利用 ,一 些 新 的 处 于 测试 阶段 的 服务 存在 着 更 多 的 安全 
缺陷 。 

3) 缺乏 安全 策略 

许多 站 点 在 网 络 及 防火 墙 配 置 上 无 意识 地 扩大 了 访问 权限 ,忽视 了 这 些 权限 可 能 会 
被 内 部 人 员 滥 用 。 黑 客 从 一 些 服 务 中 可 以 获得 有 用 的 信息 ,而 网 络 维护 人 员 却 不 知道 应 
该 禁止 这 种 服务 。 

4) 配置 的 复杂 性 

访问 控制 的 配置 一 般 十 分 复杂 ,所 以 很 容易 被 错误 配置 ,从 而 给 黑客 以 可 乘 之 机 。 

除 上 面 的 4 个 问题 外 ,还 有 TCP/IP 协议 是 被 公布 于 世 的 ,了 解 它 的 人 越 多 ,被 人 破 
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坏 的 可 能 性 也 就 越 太 。 现 在 ,银行 之 间 在 专用 网 上 传输 数据 所 用 的 协议 都 是 保密 的 ,这 
样 就 可 以 有 效 地 防止 人 侵 。 对 于 UNIX 和 Windows NT 等 网 络 系统 的 安全 问题 ,总 体 来 
说 Windows NT 要 比 UNIX 安全 ,这 并 不 是 说 Windows NT 的 没有 安全 问题 和 缺陷 ,而 
是 因为 Windows NT 的 源 代码 不 公开 ,而 UNIX 的 源 代 码 是 极 易 得 到 的 。 当 然 , 人 们 不 
能 把 TCP/IP 协议 和 其 源 代 码 保密 ,这 样 不 利于 TCP/IP 网 络 的 发 展 ,但 可 以 在 其 他 方面 
采取 一 些 措 施 来 弥补 它 。 

随 着 计算 机 网 络 的 发 展 ,计算 机 网 络 的 功能 和 服务 也 越 来 越 强 , 但 这 也 带 来 了 很 多 
安全 问题 , 像 Windows NT 这 样 的 网 络 系统 ,代码 庞大 ,安全 漏洞 多 。 而 且 由 于 系统 本 身 
不 完善 和 * 后 门 问 题 ”, 可 以 被 黑客 们 利用 借以 侵入 网 络 ,给 网 络 安全 带 来 很 多 隐患 。 


122 计算 机 网 络 系统 的 漏洞 


经 常 说 , 某 某 系 统 存在 大 量 漏洞 ,黑客 利用 漏洞 攻击 了 系统 。 到 底 什么 是 漏洞 ? 黑 
客 是 怎样 利用 漏洞 攻击 系统 的 ? 漏洞 的 危害 性 有 多 大 ? 下面 将 讲述 这 些 方面 的 内 容 。 


1. 漏洞 的 等 级 


广义 的 漏洞 是 指 非法 用 户 未 经 授权 获得 访问 或 提高 其 访问 层次 的 硬件 或 软件 特征 。 

漏洞 就 是 某 种 形式 的 脆弱 性 。 实 际 上 漏洞 可 以 是 任何 东西 。 许 多 用 户 非 常熟 悉 的 
特殊 的 硬件 或 软件 都 存在 漏洞 : IBM 兼容 机 的 CMOS 密码 在 CMOS 的 电池 供电 不 足 、 
不 能 供电 或 被 移 走 造成 CMOS 密码 丢失 是 漏洞 ;操作 系统 、 浏 览 器 、TCP/IP、 免 费 邮 箱 等 
也 存在 漏洞 。 每 个 平台 无 论 是 硬件 还 是 软件 都 存在 漏洞 。 

网 络 漏洞 主要 是 指 网 络 产品 或 系统 存在 的 缺陷 给 网 络 带 来 的 不 安全 因素 ,产生 的 主 
要 原因 是 设计 网 络 产品 或 系统 时 考虑 不 周到 。 

由 于 网 络 系统 的 复杂 性 ,网 络 漏洞 产生 不 可 避免 ,现在 主要 做 的 是 当 发 现 网 络 漏洞 
后 ,应 及 时 采取 补救 措施 。 

根据 网 络 漏洞 或 脆弱 性 给 系统 带 来 危害 性 的 大 小 ,漏洞 可 分 为 允许 拒绝 服务 的 漏洞 
(C 类 ) 允许 有 限 权限 的 本 地 用 户 未 经 授权 提高 其 权限 的 漏洞 (B 类 )、 允 许 外 来 团体 (在 
远程 主机 上 ) 未 经 授权 访问 网 络 的 漏洞 (A 类 ) 等 3 级 类 型 。 

1) 允许 拒绝 服务 的 漏洞 (C 类 ) 

允许 拒绝 服务 的 漏洞 属于 C 类 , 它 不 会 破坏 数据 或 使 数据 泄密 ,是 不 太 重 要 的 漏洞 。 

黑客 利用 这 类 漏洞 进行 攻击 几乎 总 是 基于 操作 系统 的 ,也 就 是 说 ,这 些 漏洞 存在 于 
网 络 操作 系统 中 。 当 存在 这 种 漏洞 时 ,必须 通过 软件 开发 者 或 销售 商 的 弥补 子 以 纠正 。 

对 于 大 的 网 络 或 站 点 ,拒绝 服务 攻击 只 是 有 限 的 影响 ,最 多 不 过 是 使 人 心烦 而 已 。 
然而 对 于 小 的 站 点 ,可 能 会 受到 拒绝 服务 的 重创 。 特 别 对 于 站 点 只 是 一 台 单 独 的 机 器 
(单独 的 邮件 或 新 闻 服 务 器 ) 更 是 如 此 。 

拒绝 服务 攻击 是 一 个 人 或 多 个 人 利用 Internet 的 核心 协议 TCP/IP 的 某 些 缺陷 产生 
大 量 数据 阻塞 网 络 ,使 服务 器 死机 或 因 服务 器 负担 过 重 使 系统 拒绝 正常 用 户 对 系统 信息 
进行 合法 的 访问 。 

2) 允许 本 地 用 户 非法 访问 的 漏洞 (B 类 ) 


Ly 
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B 类 漏洞 是 允许 本 地 用 户 获 得 增加 的 未 授权 的 访问 ,这 种 漏洞 一 般 在 多 种 平台 的 应 
用 程序 中 发 现 。 

一 个 很 好 的 例子 是 众所周知 的 Sendmail 问题 。Sendmail 可 能 是 世界 上 发 送 电子 邮 
件 最 盛行 的 方法 ,这 个 程序 一 般 在 系统 启动 时 作为 例 程 初始 化 并 且 只 要 机 器 可 用 它 就 可 
用 。 在 活动 可 用 状态 下 ,Sendmail( 在 端口 25) 侦 听 网 络 空间 上 的 发 送 请 求 。 

当 Sendmail 启动 时 , 它 一 般 要 求 检验 用 户 的 身份 ,只 有 root 和 与 root 相同 权限 的 用 
户 有 权 启 动 和 维护 Sendmail 程序 。 然 而 根据 CERT 咨询 处 的 Sendmail 
DaemonVulnerability 报告 :“ 很 遗憾 ,由 于 一 个 代码 错误 ,Sendmail 在 例 程 模式 下 可 以 以 
一 种 绕 过 潜入 的 方式 激活 。 当 绕 过 检查 后 ,任何 本 地 用 户 都 可 以 在 例 程 下 启动 
Sendmail。 另 外 在 8.7 版 本 中 ,在 Sendmail 收 到 一 个 SIGHUP 信号 时 会 重新 启动 。 它 
通过 使 用 exec(2) 系 统 调用 重新 执行 自己 来 重新 开始 操作 。 重 新 执行 作为 root 用 户 实 
现 。 通 过 控制 Sendmail 环境 ,用 户 可 以 用 root 权限 让 Sendmail 运行 一 任意 的 程序 .” 因 
此 ,本 地 用 户 获得 一 种 形式 的 root 访问 。 这 些 漏 洞 是 很 常见 的 ,差不多 每 月 都 发 生 一 次 。 
Sendmail 以 这 些 漏洞 而 出 名 ,但 却 不 是 唯一 的 现象 (也 不 是 UNIX 自身 的 问题 )。 

像 Sendmail 这 样 的 程序 中 的 漏洞 特别 重要 ,因为 这 些 程序 对 网 上 所 有 的 用 户 都 是 可 
用 的 ,所 有 用 户 都 至 少 有 使 用 Sendmail 程序 的 基本 权限 。 如 果 没 有 的 话 ,他 们 没 法 发 送 
邮件 。 因 此 Sendmail 中 的 任何 bug 或 漏洞 都 是 十 分 危险 的 。 

B 类 漏洞 唯一 令 人 欣慰 的 是 有 较 大 的 可 能 检查 出 入 侵 者 ,特别 是 在 入 侵 者 没有 经 验 
的 情况 下 更 是 如 此 。 如 果 系 统管 理 员 运行 了 强 有 力 的 登录 工具 ,入 侵 者 还 需要 有 较 多 的 
专业 知识 才能 逃避 检查 。 

大 多 数 B 类 漏洞 产生 的 原因 是 由 应 用 程序 中 的 一 些 缺陷 引起 的 。 有 些 常 见 的 编程 
错误 导致 这 种 漏洞 的 产生 ,如 缓冲 区 的 溢出 。 有 关 缓 冲 区 的 溢出 的 问题 将 在 后 面 的 有 关 
章节 中 介绍 。 

3) 允许 过 程 用 户 未 经 授权 访问 的 漏洞 (A 类 ) 

A 类 漏洞 是 威胁 性 最 大 的 一 种 漏洞 。 大 多 数 的 A 类 漏洞 是 由 于 较 差 的 系统 管理 或 
设置 有 误 造 成 的 。 

典型 的 设置 错误 (或 设置 失败 ) 是 网 络 系统 提供 的 任何 存放 在 驱动 器 上 的 例子 脚本 ， 
即使 在 这 些 版 本 的 系统 文档 中 建议 管理 员 删 掉 这 些 脚 本 。 这 种 漏洞 在 网 络 上 重 现 过 无 
数 次 ,包括 那些 在 Web 服务 器 版 本 中 的 文件 。 这 些 脚本 有 时 会 为 来 自 网 络 空间 的 侵入 
者 提供 有 限 的 访问 权限 甚至 root 的 访问 权限 。 如 test_cgi 文件 的 缺陷 是 允许 来 自 网 络 
空间 的 侵入 者 读 取 CGI 目录 下 的 文件 。Novell 平台 的 一 种 HTTP 服务 器 有 一 个 称 做 
Convert. bas 的 例子 脚本 。 这 个 用 BASIC 编写 的 脚本 ,允许 远程 用 户 读 取 系 统 上 的 任何 
文件 ， 

A 类 漏洞 涉及 的 不 仅 是 一 个 文件 ,有 时 它 与 脚本 的 解释 方法 有 关 。 例 如 ,Microsoft 
的 Internet 信息 服务 器 (IIS) 包 含 一 个 允许 任何 远程 用 户 执行 任意 命令 的 漏洞 。 由 于 IIS 
将 所 有 . bat 或 . cmd 后 缀 的 文件 与 cmd. exe 程序 联系 起 来 ,所 以 危害 性 很 大 。 如 
JulianAssange(Strobe 的 作者 ) 所 解释 的 :“ 第 一 个 Bug 人 允许 用 户 访问 与 wwwroot 目录 
在 同一 分 区 的 任何 文件 (认为 IIS_user 可 以 读 此 文件 )。 它 也 允许 与 脚本 目录 在 同一 分 
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区 的 任意 可 执行 文件 的 运行 (认为 IIS_user 足以 执行 此 文件 )。 如 果 cmd. exe 文件 能 被 
执行 ,那么 它 也 允许 你 执行 任何 命令 , 读 取 任意 分 区 的 任意 文件 (认为 IIS_user 可 以 读 取 
并 执行 此 文件 )…… 遗憾 的 是 Netscape 通信 和 Netscape 商业 服务 器 也 都 有 相 类 似 的 
Bug。 对 于 Netscape 服务 器 使 用 BAT 或 CMD 文件 作为 CGI 脚本 则 会 发 生 类 似 的 
事情 。” 

很 自然 ,A 类 漏洞 对 系统 造成 了 严重 的 威胁 。 在 许多 情况 下 ,如 果 系 统管 理 员 只 运 
行 了 很 少 日 志 的 话 , 这 些 攻击 可 能 不 会 被 记录 ,使 提 获 更 为 困难 。 

很 容易 体会 到 为 什么 像 扫描 器 这 样 的 程序 会 成 为 安全 性 的 重要 部 分 ,扫描 器 的 重要 
目的 是 检查 这 些 漏洞 。 因 此 ,尽管 安全 性 程序 员 把 这 些 漏 洞 包含 进 他 们 的 程序 中 作为 检 
查 的 选择 ,但 他 们 经 常 是 在 攻击 者 之 后 几 个 月 才 这 样 做 ( 某 些 漏 洞 ,比如 说 允许 拒绝 服务 
的 synflooding 漏洞 不 容易 弥补 ,目前 系统 管理 员 必 须 得 学 会 在 这 些 不 尽 人 意 的 漏洞 下 
王 作 》。 

使 形势 更 为 困难 的 是 非 UNIX 平台 的 漏洞 要 花 更 多 的 时 间 才 会 表现 出 来 。 例 如 , 许 
多 Windows NT/2000 的 系统 管理 员 不 运行 重要 的 日 志文 件 。 因 为 报告 漏洞 ,必须 有 漏 
洞 存在 的 证 据 。 另 外 ,新 的 系统 管理 员 ( 在 IBM 兼容 机 中 ,这 样 的 管理 员 占 很 大 比例 ) 并 
没有 对 文档 和 报告 安全 性 事故 做 好 准备 。 这 意味 着 漏洞 出 现 后 ,从 测试 、 重 建 测试 环境 
及 最 后 加 入 到 扫描 器 前 的 时 间 被 浪费 了 。 


2. 系统 安全 漏洞 


一 个 网 络 系统 不 仅 包含 了 各 种 交换 机 .路 由 器 .安全 设备 和 服务 器 等 硬件 设备 ,还 包 
含 了 各 种 操作 系统 、 服 务 器 软件 数据 库 系统 以 及 应 用 软件 等 软件 系统 ,系统 结构 十 分 复 
杂 。 从 系统 安全 角度 分 析 ,任何 一 个 部 分 要 想 做 到 万 无 一 失 都 是 非常 困难 的 ,任何 一 个 
政 漏 都 有 可 能 导致 安全 漏洞 ,给 攻击 者 造成 可 乘 之 机 , 带 来 严重 的 后 果 。 然 而 ,在 大 多 数 
情况 下 ,一 个 网 络 系统 建立 起 来 后 ,并 不 知道 系统 是 否 存在 安全 漏洞 ,往往 不 做 任何 的 系 
统 安全 性 测试 和 检测 ,只 在 发 生 网 络 攻 击 事件 并 造成 严重 的 后 果 后 , 才 意 识 到 安全 漏洞 
的 危害 性 。 根 据 美国 联邦 调查 局 的 统计 ,世界 上 所 发 生 的 网 络 攻击 事件 中 ,80% 以 上 是 
因为 系统 存在 安全 漏洞 被 内 部 或 外 部 攻击 者 利用 而 造成 的 。 

从 网 络 攻击 的 角度 来 分 析 ,常见 的 网 络 攻击 方法 可 分 成 如 下 几 种 类 型 : 扫描 、 探 测 、 
数据 包 窃 听 拒绝 服务 、 获 取 用 户 账 户 、 获 取 超 级 用 户 权 限 、 利 用 信任 关系 以 及 恶意 代码 
(如 特洛伊 木马 .病毒 .蠕虫 等 ) 等 。 攻 击 者 人 侵 网 络 系统 主要 采用 两 种 基本 方法 : 社会 工 
程 和 技术 手段 。 基 于 社会 工程 的 入 侵 方法 是 攻击 者 通过 欺骗 手法 引诱 用 户 说 出 他 们 的 
密码 ,然后 通过 密码 轻易 地 入 侵 网 络 系统 。 基 于 技术 手段 的 入 侵 方法 是 攻击 者 利用 系统 
设计 ,配置 和 管理 中 的 漏洞 来 人 侵 系 统 。 技 术 手 段 入 侵 主 要 有 下 述 几 种 。 

1) 潜在 的 安全 漏洞 

任何 一 种 软件 系统 都 或 多 或 少 地 存在 着 安全 漏洞 。 在 当前 的 技术 条 件 下 ,发 现 和 修 
补 一 个 系统 所 有 安全 漏洞 是 十 分 困难 的 ,也 是 不 可 能 的 。 一 个 系统 可 能 存在 的 安全 漏洞 
主要 集中 在 如 下 几 个 方面 。 

(1) 密码 漏洞 : 通过 破译 操作 系统 的 密码 而 入 侵 系统 是 常用 的 攻击 方法 ,使 用 一 些 
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密码 破译 工具 可 以 扫描 Windows NT 的 密码 文件 。 任 何不 及 时 更 新 密码 的 系统 ,都 容易 
受到 攻击 。 

(2) 软件 漏洞 : 在 UNIX 中 ,NFS、NIS、Sendmail、 Rlogin 和 Rsh 等 程序 都 存在 着 一 
定 的 安全 漏洞 ,容易 受到 攻击 。 

(3) 协议 漏洞 : 利用 协议 漏洞 也 是 常见 的 攻击 方法 。 例 如 ,IMAP 和 POP3 协议 一 
定 要 在 UNIX 系统 根 目录 下 运行 ,攻击 者 可 以 利用 这 一 漏洞 发 动 对 IMAP 的 攻击 ,破坏 
系统 的 根 目 录 , 从 而 取得 超级 用 户 的 特权 。 

(4) 缓冲 区 溢出 : 这 是 最 容易 被 攻击 者 利用 的 系统 漏洞 (下 面 详细 讨论 ) 。 

(5) 拒绝 服务 : 拒绝 服务 (DoS) 攻 击 是 通过 产生 大 量 虚 假 的 数据 包 来 耗 尽 目标 系统 
的 资源 ,如 CPU 周期 .内存 和 磁盘 空间 .通信 带宽 等 ,使 系统 无 法 处 理 正 常 的 服务 ,直到 
因为 过 载 而 崩溃 。 典 型 的 DoS 攻击 有 SYN flood FIN flood ICMP flood、UDP flood 等 。 
虚假 的 数据 包 还 会 使 一 些 基 于 “失效 开放 ”策略 的 入 侵 检测 系统 产生 拒绝 服务 。 所 谓 “ 失 
效 开放 ”是 指 系统 在 失效 前 不 会 拒绝 访问 、 由 于 虚假 的 数据 包 会 诱 使 这 种 “失效 开放 ” 系 
统 去 回击 那些 并 未 发 生 的 攻击 ,结果 阻塞 了 合法 的 请 求 或 是 断 开 合 法 的 连接 ,最 终 导 致 
系统 拒绝 服务 。 

(6) 恶意 代码 : 恶意 代码 是 一 组 诸如 病毒 或 蠕虫 这 样 的 破坏 性 程序 ,包括 如 下 几 个 
类 型 。 

病毒 (virus) 一 一 病毒 是 一 组 能 够 附着 在 程序 .磁盘 或 计算 机 内 存 中 以 便 自我 繁殖 的 
代码 。 病 毒 能 够 携带 一 个 实施 特定 活动 的 有 效 载荷 ,从 显示 一 则 消息 到 删除 一 个 计算 机 
硬盘 ,活动 范围 非常 广泛 。 

蠕虫 (worm) 一 一 和 病毒 类 似 , 蠕 虫 也 可 以 自我 复制 。 蠕 虫 能 够 利用 电子 邮件 和 网 
络 设施 来 扩散 并 且 创建 新 的 复制 。 

特洛伊 木马 (Trojan horse) 一 一 特洛伊 木马 没有 自我 复制 能 力 , 它 的 特点 是 伪装 成 
一 个 实用 工具 或 者 一 个 可 爱 的 游戏 , 诱 使 用 户 将 其 安装 在 PC 或 者 服务 器 上 。 

间谍 件 (spyware) 一 一 这 是 一 类 采集 用 户 信息 并 发 送 到 某 个 集中 站 点 的 软件 。 著 名 
的 音乐 共享 程序 Kazaa 上 面 就 附着 了 一 个 间谍 件 ,在 它 的 用 户 许可 协议 中 明确 提 到 ,如 
果 用 户 接受 其 协议 ,就 等 于 允许 安装 它 所 提供 的 间谍 件 并 发 出 个 人 用 户 信 息 。 

恶作剧 (hoax) 一 一 这 是 一 类 特殊 的 恶意 代码 , 它 实际 上 并 不 包含 任何 代码 ,只 是 利 
用 了 用 户 的 轻信 而 散播 。 这 些 东 西 通常 都 会 使 用 一 些 带 有 感情 色彩 的 主题 ,比如 “孩子 
的 最 近 一 个 愿望 ”。 任 何 请 求 将 同一 个 复制 转发 给 其 他 熟人 的 电子 邮件 消息 ,都 可 以 被 
认为 是 一 类 恶作剧 。 

脚本 小 子 (scriptkiddies) 一 一 脚本 小 子 是 黑客 的 分 支 ,他 们 通常 会 利用 别人 提供 的 
脚本 程序 来 破解 特定 系统 上 的 某 个 安全 漏洞 。 

2) 可 利用 的 系统 工具 

很 多 系统 都 提供 了 用 于 改进 系统 管理 和 服务 质量 的 系统 工具 ,但 这 些 系统 工具 同时 
也 可 能 被 攻击 者 利用 ,进行 非法 收集 信息 ,为 攻击 打开 方便 之 门 。 

(1) Windows NT NBTSTAT 命令 : 系统 管理 员 使 用 该 命令 获取 远程 节点 信息 ,但 
攻击 者 也 可 用 该 命令 收集 对 系统 有 威胁 性 的 信息 。 例 如 ,网 络 管理 员 的 身份 信息 、 
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NetBIOS 名 IIS 名 以 及 用 户 名 等 。 这 些 信 息 可 以 用 来 破译 密码 。 

(2) Portscan 工具 : 系统 管理 员 使 用 该 工具 检查 系统 的 活动 端口 以 及 这 些 端 口 所 提 
供 的 服务 ,攻击 者 也 可 出 于 同一 目的 而 使 用 这 一 工具 。 

(3) 数据 包 窗 听 器 (packet sniffer) : 系统 管理 员 使 用 该 工具 监控 和 分 发 数据 包 ,以 便 
找 出 网 络 的 潜在 问题 。 攻 击 者 可 以 利用 该 工具 截获 流 经 网 络 的 数据 包 , 这 些 数据 包 中 可 
能 包含 有 未 加 密 的 密码 和 其 他 敏感 信息 ,然后 利用 这 些 数据 来 攻击 网 络 。 

3) 不 正确 的 系统 设置 

不 正确 的 系统 设置 也 是 造成 安全 隐患 的 一 个 重要 因素 。 当 发 现 安全 漏洞 时 ,管理 员 
应 仔细 分 析 和 危险 程 度 ,并 马上 采取 补救 措施 。 有 时 虽然 已 经 对 系统 进行 了 维护 ,对 软件 
进行 了 更 新 或 升级 ,但 由 于 一 些 网 络 设备 (如 路 由 器 、 防 火 墙 等 ) 配 置 过 于 复杂 ,系统 还 可 
能 会 出 现 新 的 安全 漏洞 。 因 此 ,及 时 和 有 效 地 改变 系统 设置 可 以 大 大 降低 系统 所 承受 的 
风险 。 

4) 不 完善 的 系统 设计 

在 不 重视 信息 安全 情况 下 所 设计 出 来 的 软件 系统 是 很 不 安全 的 ,难以 抵御 网 络 攻 
击 。 在 网 络 系统 设计 时 ,应 当 从 底层 着 手 来 建立 安全 的 系统 架构 ,使 系统 能 够 提供 有 效 
的 安全 服务 和 管理 。 不 完善 的 网 络 系统 和 软件 设计 将 会 给 攻击 者 带 来 可 乘 之 机 。 在 很 
多 发 表 的 安全 漏洞 报告 中 都 指出 : 在 输入 检查 不 完全 时 ,cgi-bin 是 非常 脆弱 的 。 攻 击 者 
可 以 利用 这 一 漏洞 发 动 DoS 攻击 ,非法 访问 敏感 信息 或 是 算 改 Web 服务 器 的 内 容 。 


3. 漏洞 类 型 


攻击 者 在 实施 网 络 攻击 时 ,首先 要 寻找 一 个 网 络 系统 的 各 种 安全 漏洞 ,然后 分 析 和 
利用 这 些 安全 漏洞 来 人 侵 网 络 系统 。 系 统 安全 漏洞 大 致 可 分 成 如 下 几 类 。 

(1) 软件 漏洞 : 任何 一 种 软件 系统 都 或 多 或 少 存在 一 定 的 脆弱 性 ,安全 漏洞 可 以 看 
做 是 已 知 的 系统 脆弱 性 。 例 如 ,一 些 程序 只 要 接收 到 一 些 异 常 或 者 超 长 的 数据 和 参数 ， 
就 会 导致 缓冲 区 溢出 。 这 是 因为 很 多 软件 在 设计 时 忽略 或 者 很 少 考虑 安全 性 问题 ,即使 
在 软件 设计 中 考虑 了 安全 性 ,也 往往 因为 开发 人 员 缺 乏 安 全 培训 或 没有 安全 经 验 而 造成 
安全 漏洞 。 这 种 安全 漏洞 可 以 分 为 两 种 : 一 是 由 于 操作 系统 本 身 设计 缺陷 带 来 的 安全 漏 
洞 ,这 种 漏洞 将 被 运行 在 该 系统 上 的 应 用 程序 所 继承 ;二 是 应 用 软件 程序 的 安全 漏洞 ,这 
种 漏洞 最 常见 ,更 需要 引起 广泛 的 关注 。 

(2) 结构 漏洞 : 在 一 些 网 络 系统 中 忽略 了 网 络 安全 问题 ,没有 采取 有 效 的 网 络 安 全 
措施 ,使 网 络 系统 处 于 不 设防 状态 。 在 一 些 重 要 网 段 中 ,交换 机 和 集线器 等 网 络 设备 设 
置 不 当 , 造 成 网 络 流量 被 监听 和 获取 。 

(3) 配置 漏洞 : 在 一 些 网 络 系统 中 忽略 了 安全 策略 的 制定 ,即使 采取 了 一 定 的 网 络 
安全 措施 ,但 由 于 系统 的 安全 配置 不 合理 或 不 完整 ,安全 机 制 并 没有 发 挥 作用 。 在 网 络 
系统 发 生变 化 后 ,由 于 没有 及 时 更 改 系统 的 安全 配置 而 造成 安全 漏洞 。 

(4) 管理 漏洞 : 指 因 网 络 管理 员 的 玻 漏 和 麻痹 造成 的 安全 漏洞 。 例 如 ,管理 员 密 码 
太 短 或 长 期 不 更 换 , 造 成 密码 攻击 。 两 台 服 务 器 共用 同一 个 用 户 名 和 密码 ,如 果 一 个 服 
务 器 被 和 人 侵 , 则 另 一 个 服务 器 也 不 能 幸免 。 
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(5) 信任 漏洞 : 一 个 系统 过 分 地 信任 某 个 外 来 合作 者 的 机 器 ,一 旦 这 个 合作 者 的 机 
器 被 入侵 , 则 整个 系统 的 安全 将 受到 严重 的 威胁 。 

人 们 经 常会 犯 一 些 安全 错误 ,如 认定 攻击 总 是 来 自 组 织 外 部 ,就 像 很 多 公司 在 其 建 
筑 物 之 外 构筑 了 坚固 的 围墙 ,但 其 内 部 的 门 却 都 不 加 锁 一 样 。 下 面 列举 的 是 组 织 内 部 常 
见 的 一 些 由 于 管理 和 信任 漏洞 造成 的 威胁 。 

受 认证 的 用 户 一 一 这 些 用 户 经 过 认证 和 授权 ,可 以 使 用 网 络 中 特定 的 资源 。 他 们 往 
往 会 利用 已 经 获得 的 访问 权限 去 得 到 诸如 工资 单 或 个 人 记录 这 样 的 机 密 数据 。 

非 授 权 用 户 一 一 在 组 织 内 部 ,用 户 有 时 候 会 安装 一 些 未 被 授权 的 程序 和 插件 ,这 等 
于 开放 了 很 多 漏洞 。 

未 打 补丁 的 软件 一 一 保持 软件 及 时 更 新 或 打 补 丁 是 非常 重要 的 。 一 旦 一 个 软件 漏 
洞 被 识别 ,供应 商会 向 相关 客户 提供 更 新 件 。 经 常 检查 并 更 新 补丁 是 很 好 习惯 ,特别 是 
对 浏览 器 和 操作 系统 。 如 果 运 行 的 是 微软 的 操作 系统 。 例 如 , Windows 2000, 下 面 的 链 
接 是 有 用 的 。 

http://www. microsoft. com/windows2000/downloads/critical/ default. asp 

这 个 URL 链接 指向 列举 了 所 有 可 供 下 载 的 关键 更 新 ,特别 针对 微软 操作 系统 的 操 
作 过 程 也 适用 于 Web 浏览 器 和 其 他 PC 中 使 用 的 程序 。 此 外 ,Internet 上 还 有 很 多 邮件 
列表 经 常会 发 布 有 关 更 新 补丁 的 最 新 消息 ,例如 ,下 面 两 个 网 址 的 内 容 。 

http://www. truesecure. com 和 http://www. csoonline. com 

从 这 些 安全 漏洞 来 看 , 既 有 技术 因素 ,也 有 管理 因素 和 人 员 因 素 。 实 际 上 ,攻击 者 正 
是 分 析 了 与 目标 系统 相关 的 技术 因素 ,管理 因素 和 人 员 因 素 后 ,寻找 到 其 中 的 安全 漏洞 
来 和 人 侵 系 统 的 。 因 此 ,阻塞 安全 漏洞 必须 从 技术 手段 .管理 制度 和 人 员 培 训 等 方面 采取 
有 效 的 措施 。 安 全 漏洞 扫描 技术 是 一 种 技术 手段 ,但 只 靠 技术 手段 是 不 够 的 ,还 必须 从 
制定 安全 管理 制度 .培养 安全 管理 人 员 和 加 强 安全 防范 意识 教育 等 方面 来 提高 网 络 系统 
的 安全 防范 能 力 和 水 平 。 


123 计算 机 网 络 技术 的 安全 隐患 


计算 机 网 络 的 安全 隐患 是 多 方面 的 。 从 网 络 组 成 结构 上 分 ,有 计算 机 信息 系统 的 和 
有 通信 设备 .设施 的 ;从 内 容 上 分 ,有 技术 上 的 和 管理 上 的 。 从 技术 上 来 看 ,主要 有 以 下 
几 个 方面 。 


1. 网 络 系统 软件 自身 的 安全 问题 


网 络 系统 软件 的 自身 安全 与 否 直接 关系 到 网 络 的 安全 。 网 络 系统 软件 的 安全 功能 
较 少 或 不 全 ,以 及 系统 设计 时 的 玻 忽 或 考虑 不 周 而 留 下 的 “破绽 ?都 等 于 给 危害 网 络 安全 
的 人 或 事 留 下 许多 “后 门 ”。 例 如 ,美国 微软 公司 就 经 常 针对 已 发 现 的 系统 “破绽 ”发 布 
“补丁 ”程序 。 同 时 ,在 同一 系统 软件 中 , 低 版 本 往往 比 高 版 本 在 安全 性 能 方面 差 许多 ,所 
以 在 服务 器 上 要 注意 尽量 使 用 高 版 本 的 操作 系统 ,并 使 用 系统 软件 所 能 提供 的 最 高 安全 
级 别 。 另 外 ,值得 注意 的 是 操作 系统 的 许多 默认 值 都 已 经 被 黑客 们 盯 上 了 ,往往 被 用 来 
作为 侵入 网 络 的 突破 口 , 所 以 应 尽量 避免 使 用 系统 默认 值 。 此 外 ,还 要 注意 的 有 以 下 
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几 项 。 

(1) 操作 系统 的 体系 结构 造成 其 本 身 是 不 安全 的 ,这 也 是 计算 机 系统 不 安全 的 根本 
原因 之 一 。 操 作 系统 的 程序 是 可 以 动态 连接 的 ,包括 I/O 的 驱动 程序 与 系统 服务 都 可 以 
采用 打 “ 补 丁 ” 的 方式 进行 动态 连接 。 许 多 UNIX 操作 系统 版 本 的 升级 .开发 都 是 采用 打 
“补丁 ”的 方式 进行 的 。 这 种 方式 既然 厂商 可 以 使 用 ,那么 黑客 也 可 以 使 用 ,同时 这 种 动 
态 连接 也 成 为 计算 机 病毒 产生 的 好 环境 。 

(2) 操作 系统 的 一 些 功能 ,例如 ,在 网 络 上 传输 文件 的 功能 ,包括 支持 传输 可 以 执行 
的 文件 映像 , 即 可 在 网 络 上 加 载 程序 等 ,必然 带 来 一 些 不 安全 因素 。 

(3) 操作 系统 不 安全 的 另 一 原因 在 于 它 可 以 创建 进程 ,甚至 支持 在 网 络 的 节点 上 进 
行 远程 进程 的 创建 与 激活 ,更 重要 的 是 被 创建 的 进程 可 以 继承 创建 进程 的 权力 。 这 一 点 
与 可 在 网 络 上 加 载 程序 结合 起 来 就 构成 了 可 以 在 远 端 服务 器 上 安装 “间谍 ”软件 的 条 件 。 
若 再 把 这 种 间谍 软件 以 打 补 丁 的 方式 " 打 ? 在 一 个 合法 的 用 户 上 ,尤其 是 “ 打 ? 在 一 个 特权 
用 户 上 ,系统 进程 与 作业 监视 程序 就 都 无 法 监测 这 些 黑客 和 间谍 软件 的 存在 。 

(4) 操作 系统 运行 时 ,一 些 系 统 进程 总 在 等 待 一 些 条 件 的 出 现 , 一 旦 满足 要 求 的 条 件 
出 现 ,程序 便 继续 运行 下 去 ,这 都 是 黑客 可 以 利用 的 。 

(5) 操作 系统 要 安排 无 密码 入 口 ,这 原本 是 为 系统 开发 人 员 提 供 的 便捷 入 口 ,但 也 是 
黑客 的 通道 。 另 外 ,操作 系统 还 有 隐蔽 信道 。 

(6) Internet 和 Intranet 使 用 的 TCP/IP( 传 输 控制 协议 /网 际 协议 ) 以 及 FTP( 文 件 
传输 协议 ) .E-mail( 电 子 邮 件 )、RPC( 远 程 程序 通信 规则 )、NFS( 网 络 文件 系统 ) 等 都 包含 
许多 不 安全 的 因素 ,存在 着 许多 漏洞 。 


2. 网 络 系统 中 数据 库 的 安全 设计 问题 


网 络 中 的 信息 数据 是 存放 在 计算 机 数据 库 中 的 , 供 不 同 的 用 户 共享 。 数 据 库存 在 着 
不 安全 性 和 危险 性 ,因为 在 数据 库 系 统 中 存放 着 大 量 重要 的 信息 资源 ,在 用 户 共享 资源 
时 可 能 会 出 现 授权 用 户 超出 了 他 们 的 访问 权限 进行 更 改 活动 或 非法 用 户 绕 过 安全 内 核 
窃取 信息 资源 等 现象 。 因 此 ,提出 了 数据 库 安 全 问题 ,也 就 是 要 保证 数据 的 安全 可 靠 和 
正确 有 效 。 对 数据 库 数据 的 保护 主要 是 针对 数据 的 安全 性 .完整 性 和 并 发 控制 三 方面 。 

数据 的 安全 性 就 是 保证 数据 库 不 被 故意 的 破坏 和 非法 的 存 取 。 数 据 的 完整 性 是 防 
止 数据 库 中 存在 不 符合 语义 的 数据 ,以 及 防止 由 于 错误 信息 的 输入 、 输 出 而 造成 无 效 操 
作 和 错误 结果 。 并 发 控制 即 数据 库 是 一 个 共享 资源 ,在 多 个 用 户 程 序 并 行 地 存 取 数 据 库 
时 ,就 可 能 会 产生 多 个 用 户 程序 并 发 地 存 取 同 一 数据 的 情况 . 若 不 进行 并 发 控制 就 会 使 
取出 和 存 人 的 数据 不 正确 ,破坏 数据 库 的 一 致 性 。 

所 以 在 数据 库 设计 时 ,必须 考虑 到 这 些 问题 。 通 常 可 采取 一 系列 的 安全 策略 和 安全 
机 制 ,其 中 主要 是 解决 存 取 控 制 问 题 。 可 是 对 数据 的 存 取 控制 并 不 足以 对 数据 库 用 户 进 
行 约束 ,所 以 还 要 增加 作业 授权 控制 ,把 作业 授权 控制 结合 到 安全 策略 中 ,并 用 自主 型 和 
强制 性 的 存 取 控制 来 处 理 用 户 对 数据 的 访问 。 而 作业 授权 控制 是 处 理 用 户 对 作业 以 及 
作业 对 数据 的 访问 ,这 种 作业 授权 控制 既 提供 了 高 可 靠 性 ,又 提供 了 应 用 的 灵活 性 。 

下 面 以 著名 的 数据 库 Oracle 和 Fox 或 dBASE 为 例 来 说 明 。Oracle 数据 库 系 统 是 
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一 个 非常 有 影响 的 分 布 式 数据 库 系 统 , 它 不 仅 有 国内 广泛 使 用 的 微机 版 ,而 且 还 支持 许 
多 不 同 的 操作 系统 。Oracle 数据 库 系 统 体系 非常 庞大 ,在 此 仅 以 Oracle for NetWare 为 
例 来 说 明 其 良好 的 自身 保护 机 制 。Oracle 是 通过 保护 数据 库 的 数据 单元 表 (table) 来 保 
护 信息 资源 不 被 其 他 程序 进行 非 授权 访问 ,从 而 达到 保护 自身 的 目的 。Oracle 的 表 存 储 
方式 是 由 若干 表 组 合 在 一 起 ,以 一 个 大 文件 的 形式 存放 在 Novell 网 络 服务 器 的 Oracle 
目录 内 的 。 这 个 文件 的 结构 和 加 密 方法 对 外 均 不 公开 ,因而 其 他 用 户 程序 是 无 法 破解 这 
些 表 信息 的 ,而 且 Oracle 对 外 也 不 提供 访问 的 接口 。 相 比 之 下 ,Fox 或 dBASE 的 自身 保 
护 机 制 就 差 得 多 ,甚至 可 以 说 没有 一 点 自身 保护 机 制 。 众 所 周知 ,Fox 或 dBASE 的 表 存 
放 在 以 DBF 结尾 的 文件 里 ,而 结构 完全 是 公开 的 。 存 放 在 DBF 文件 内 的 信息 没有 任何 
加 密 处 理 , 非 授权 用 户 可 以 不 通过 Fox 规定 的 方式 访问 DBF 文件 ,因而 很 容易 受到 外 来 
程序 的 攻击 。 这 一 点 希望 能 引起 所 有 基于 Fox 或 dBASE 建造 的 网 络 信息 系统 ,尤其 是 
金融 \ 财 务 系统 的 管理 人 员 的 注意 ,对 每 天 都 要 运行 的 系统 的 安全 性 给 予 高 度 重视 。 


3. 其 他 威胁 网 络 安全 的 典型 因素 


其 他 威胁 网 络 安全 的 典型 因素 主要 有 以 下 几 方 面 。 

(1) 计算 机 黑客 (将 在 后 面 的 章节 专门 介绍 ) 。 

(2) 内 部 人 员 作案 。 有 的 员工 可 能 会 利用 工作 机 会 报复 上 司 。 此 外 如 果 系 统管 理 员 
也 成 了 黑客 那 麻烦 就 大 了 。 

(3) 窃听 。 同 轴 电 绕 、 双 绞 线 ,光纤 或 无 线 方式 引入 了 新 的 物理 安全 暴露 点 ,被 动 方 
式 ( 如 搭 线 窃听 ) 或 主动 方式 (如 无 线 仿 冒 )。 利 用 计算 机 通信 设备 天 然 存在 的 电磁 泄漏 
进行 穷 取 活 动 , 也 是 一 个 重要 的 安全 隐患 。 

(4) 部 分 对 整体 的 安全 威胁 。 任 何 一 个 单一 组 件 的 失 密 都 可 能 造成 整个 网 络 的 安全 
失败 。 

(5) 程序 共享 造成 的 冲突 。 共 享 同一 程序 可 能 会 造成 死 锁 、 信 息 失效 或 文件 不 正确 
的 开关 状态 。 

(6) 对 互联 网 而 言 可 能 有 更 多 潜在 的 威胁 ,即使 各 网 均 能 独立 安全 运行 ,联网 之 后 也 
会 发 生 互相 侵害 的 后 果 。 

(7) 计算 机 病毒 。 由 于 网 络 的 设计 目标 是 资源 共享 ,所 以 网 络 是 计算 机 病毒 滋生 和 
传播 的 理想 家 园 。 


124 缓冲 区 溢出 


上 网 时 间 长 的 人 都 应 该 听 说 过 缓冲 区 溢出 ,因为 它 的 确 是 一 个 众人 皆 知 ,非常 危险 
的 漏洞 ,而 且 是 个 不 分 系统 ,程序 都 广泛 存在 的 一 个 漏洞 。 以 缓冲 区 溢出 为 类 型 的 安全 
漏洞 是 最 为 常见 ,也 是 被 黑客 使 用 最 多 的 攻击 漏洞 。 所 以 了 解 缓 冲 区 溢出 方面 的 知识 对 
于 黑客 .管理 员 或 是 一 般 的 网 民 都 是 有 必要 的 。 

缓冲 区 (buffer) 是 用 来 存储 程序 代码 和 数据 的 临时 区 域 , 当 程 序 或 者 进程 试图 向 一 
个 缓冲 区 内 存 人 超过 最 初 设 定 大 小 的 数据 时 ,就 会 发 生 缓 冲 区 溢出 (Buffer Overflow)。 

缓冲 区 溢出 期 间 到 底 会 发 生 什么 呢 ? 缓冲 区 能 够 保存 特定 长 度 的 数据 , 当 向 缓冲 区 
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内 存 人 超出 其 容量 多 得 多 的 数据 时 ,超出 的 部 分 必然 会 进入 临近 的 缓冲 区 ,覆盖 其 中 保 
存 的 有 效 数据 。 

缓冲 区 溢出 是 非常 普遍 的 一 种 安全 漏洞 .攻击 者 经 常 借 此 渗透 远程 网 络 ,通过 匿名 
方式 获取 对 主机 的 访问 或 控制 。 此 类 攻击 是 Internet 中 最 严重 的 一 类 安全 威胁 ,因为 其 
漏洞 很 普遍 ,而 且 利用 起 来 很 简单 ,是 最 常见 的 安全 攻击 ,使 攻击 者 有 能 力 在 远程 系统 中 
注入 并 执行 代码 ,以 取得 特权 访问 。 例 如 ,OpenSSL 的 远程 缓冲 区 溢出 形成 的 漏洞 ,会 导 
致 恶意 用 户 获 取 系 统 的 普通 用 户 权限 。 


1. 缓冲 区 溢出 机 制 


在 程序 试图 将 数据 放 到 机 器 内 存 中 的 某 一 个 位 置 的 时 候 , 因 为 没有 足够 的 空间 就 会 
发 生 缓冲 区 溢出 。 人 为 的 溢出 是 有 一 定 企图 的 ,攻击 者 写 一 个 超过 缓冲 区 长 度 的 字符 
串 , 然 后 植 信 到 缓冲 区 ,向 一 个 有 限 空间 的 缓冲 区 中 植 入 超 长 的 字符 串 可 能 会 出 现 两 个 
结果 : 一 是 过 长 的 字符 串 覆 盖 了 相 邻 的 存储 单元 ,引起 程序 运行 失败 ,严重 的 可 导致 系统 
崩溃 ; 另 一 个 结果 就 是 利用 这 种 漏洞 可 以 执行 任意 指令 ,甚至 可 以 取得 系统 root 特级 权 
限 。 大 多 造成 缓冲 区 溢出 的 原因 是 程序 中 没有 仔细 检查 用 户 输入 参数 而 造成 的 。 

缓冲 区 是 程序 运行 的 时 候 机 器 内 存 中 的 一 个 连续 块 , 它 保存 了 给 定 类 型 的 数据 , 随 
着 动态 分 配 变量 会 出 现 问题 。 大 多 时 为 了 不 占用 太 多 的 内 存 , 一 个 有 动态 分 配 变量 的 程 
序 在 程序 运行 时 才 决 定 给 它们 分 配 多 少 内 存 。 这 样 想 下 去 ,如 果 要 给 程序 在 动态 分 配 组 
冲 区 放 入 超 长 的 数据 , 它 就 会 溢出 了 。 一 个 缓冲 区 溢出 程序 使 用 这 个 溢出 的 数据 将 汇编 
语言 代码 放 到 机 器 的 内 存 里 ,通常 是 产生 root 权限 的 地 方 ,这 就 不 是 什么 好 现象 了 。 仅 
仅 就 单个 的 缓冲 区 溢出 来 看 ,并 不 是 问题 的 根本 所 在 。 但 如 果 溢 出 送 到 能 够 以 root 权限 
运行 命令 的 区 域 , 一 旦 运行 这 些 命令 , 那 就 等 于 把 机 器 的 控制 权 拱手 相让 了 。 

缓冲 区 溢出 漏洞 有 多 种 类 型 ,但 所 有 缓冲 区 溢出 攻击 的 目标 都 是 要 接管 对 特权 程序 
的 控制 ,可 能 的 话 甚至 是 对 主机 的 控制 。 为 了 达到 目标 ,攻击 者 有 两 项 任务 ,首先 恶意 代 
码 要 在 程序 代码 地 址 空间 内 可 用 ,其 次 特权 程序 应 该 跳 转 到 代码 的 特定 部 分 ,确保 合适 
的 参数 能 够 加 载 进入 内 存 。 

注意 : 程序 代码 或 者 shell 代码 是 在 计算 机 操作 员 及 操作 系统 之 间 提 供 接口 的 软件 ， 
换 句 话说 , 它 是 为 用 户 提供 内 核 接口 的 解释 器 。 

第 一 项 任务 可 以 通过 两 种 途径 完成 ,将 代码 注射 到 正确 的 地 址 空间 或 者 利用 现 有 的 
代码 并 对 特定 参数 稍 做 修改 。 第 二 项 任务 有 点 复杂 ,因为 要 求 修改 程序 的 控制 流 , 以 使 
程序 跳 转 到 恶意 代码 。 


2. 缓冲 区 溢出 漏洞 攻击 方式 


缓冲 区 溢出 漏洞 可 以 使 任何 一 个 有 黑客 技术 的 人 取得 机 器 的 控制 权 甚至 是 最 高 权 
限 。 一 般 利 用 缓冲 区 溢出 漏洞 攻击 root 的 程序 ,大 都 通过 执行 类 似 “exec(sh)” 的 执行 代 
码 来 获得 root 的 shell。 黑 客 要 达到 目的 通常 要 完成 两 个 任务 ,就 是 在 程序 的 地 址 空间 
里 安排 适当 的 代码 和 通过 适当 的 初始 化 寄存 器 和 存储 器 ,让 程序 跳 转 到 安排 好 的 地 址 空 
间 执 行 。 
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1) 在 程序 的 地 址 空间 里 安排 适当 的 代码 

其 实在 程序 的 地 址 空间 里 安排 适当 的 代码 往往 是 相对 简单 的 ,但 也 同时 要 看 运气 如 
何 。 如 果 说 要 攻击 的 代码 在 所 攻击 程序 中 已 经 存在 了 ,那么 就 简单 的 对 代码 传递 一 些 参 
数 , 然 后 使 程序 跳 转 到 目标 中 就 可 以 了 。 攻 击 代码 要 求 执行 exec(“/bin/sh’”), 而 在 libc 
库 中 的 代码 执行 exec(arg) ,当中 的 arg 是 个 指向 字符 串 的 指针 参数 ,只 要 把 传人 的 参数 
指针 修改 指向 /bin/sh, 然 后 再 跳 转 到 libc 库 中 的 响应 指令 序列 就 可 以 了 。 当 然 了 ,很 多 
时 候 这 个 可 能 性 是 很 小 的 ,那么 就 得 用 一 种 叫 “ 植 入 法 ”的 方式 来 完成 。 如 果 向 要 攻击 的 
程序 里 输入 一 个 字符 串 的 话 , 程 序 就 会 把 这 个 字符 串 放 到 缓冲 区 里 ,这 个 字符 串 包含 的 
数据 是 可 以 在 这 个 所 攻击 目标 的 硬件 平台 上 运行 的 指令 序列 。 缓 冲 区 可 以 设 在 堆栈 ( 自 
动 变量 ) 、 堆 (动态 分 配 的 ) 和 静态 数据 区 (初始 化 或 者 未 初始 化 的 数据 ) 等 的 任何 地 方 , 也 
可 以 不 必 为 达到 这 个 目的 而 溢出 任何 缓冲 区 ,只 要 找到 足够 的 空间 来 放置 这 些 攻击 代码 
就 够 了 。 

2) 将 控制 程序 转移 到 攻击 代码 的 形式 

所 有 的 这 些 方法 都 是 在 寻求 改变 程序 的 执行 流程 ,使 它 跳 转 到 攻击 代码 。 最 为 基本 
的 就 是 溢出 一 个 没有 检查 或 者 其 他 漏洞 的 缓冲 区 ,这 样 就 会 扰乱 程序 的 正常 执行 次 序 。 
通过 溢出 某 缓冲 区 ,可 以 改写 相近 程序 的 空间 而 直接 跳 过 系统 对 身份 的 验证 。 原 则 上 来 
讲 攻击 时 所 针对 的 缓冲 区 溢出 的 程序 空间 可 为 任意 空间 ,但 因 不 同 地 方 的 定位 相 异 ,所 
以 也 就 带 出 了 多 种 转移 方式 。 

(1) 函数 指针 (function pointers) 

在 程序 中 ,void( * foo) 声 明了 一 个 返回 值 为 void 的 函数 指针 的 变量 foo。 函 数 指针 
可 以 用 来 定位 任意 地 址 空间 ,攻击 时 只 需要 在 任意 空间 里 的 函数 指针 邻近 处 找到 一 个 能 
够 溢出 的 缓冲 区 ,然后 用 溢出 来 改变 函数 指针 。 当 程序 通过 函数 指针 调用 函数 ,程序 的 
流程 就 会 实现 。 这 个 可 通过 调用 Linux 下 的 superprobe 程序 体验 一 下 。 

(2) 激活 记录 (activation records) 

当 一 个 函数 调用 发 生 时 ,堆栈 中 会 留 驻 一 个 激活 记录 ., 它 包含 了 函数 结束 时 返回 的 
地 址 。 执 行 溢 出 这 些 自动 变量 ,使 这 个 返回 的 地 址 指向 攻击 代码 ,再 通过 改变 程序 的 返 
回 地 址 。 当 函数 调用 结束 时 ,程序 就 会 跳 转 到 事先 所 设 定 的 地 址 ,而 不 是 原来 的 地 址 。 
这 样 的 溢出 方式 也 是 较 常 见 的 。 如 果 使 用 漏洞 扫描 (UNIX 下 的 SATAN 或 者 NT 下 的 
Retina) 器 时 , 像 多 注意 stack smashing attack 的 字样 。 

(3) 长 跳 转 缓冲 区 (longjmp buffers) 

在 C 语言 中 包含 了 一 个 简单 的 检验 /恢复 系统 , 称 为 setjmp/longjmp, 意 思 是 在 检验 
点 设 定 setjmp(buffer) ,用 longjmp(Cbuffer) 来 恢复 检验 点 。 如 果 攻击 时 能 够 进入 缓冲 区 
的 空间 ,感觉 longjmp(buffer) 实 际 上 是 跳 转 到 攻击 的 代码 。 像 函数 指针 一 样 ,长 跳 转 缓 
冲 区 能 够 指向 任何 地 方 ,所 以 找到 一 个 可 供 溢 出 的 缓冲 区 是 最 先 应 该 做 的 事情 。 

3) 植 入 综合 代码 和 流程 控制 

常见 的 溢出 缓冲 区 攻击 类 是 在 一 个 字符 串 里 综合 了 代码 植 人 和 激活 记录 。 攻 击 时 
定位 在 一 个 可 供 溢出 的 自动 变量 上 ,然后 向 程序 传递 一 个 很 大 的 字符 串 ,在 引发 缓冲 区 
溢出 改变 激活 记录 的 同时 植 入 代码 (C 语言 在 习惯 上 只 为 用 户 和 参数 开辟 很 小 的 缓冲 
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区 )。 植 入 代码 和 缓冲 区 溢出 不 一 定 要 一 次 性 完成 ,可 以 在 一 个 缓冲 区 内 放置 代码 (这 个 
时 候 并 不 能 溢出 缓冲 区 ) ,然后 通过 溢出 另 一 个 缓冲 区 来 转移 程序 的 指针 。 这 样 的 方法 
一 般 用 于 可 供 溢出 的 缓冲 区 不 能 放 入 全 部 代码 时 使 用 。 如 果 想 使 用 已 经 驻 留 的 代码 不 
需要 在 外 部 植 人 的 时 候 ,通常 必须 先 把 代码 做 为 参数 。 在 libc( 熟 悉 C 语言 的 朋友 应 该 知 
道 , 现 在 几乎 所 有 的 C 程序 连接 都 是 用 它 来 连接 的 ) 中 的 一 部 分 代码 段 会 执行 exec 
(something) ,其 中 的 something 就 是 参数 ,使 用 缓冲 区 溢出 改变 程序 的 参数 ,然后 利用 另 
一 个 缓冲 区 溢出 使 程序 指针 指向 libc 中 的 特定 的 代码 段 。 

对 缓冲 区 溢出 有 兴趣 的 朋友 ,可 以 找到 eEye 公司 开发 的 Retina 发 现 IIS 4.0 的 那个 
缓冲 区 溢出 漏洞 引起 的 很 多 黑客 攻击 实例 来 看 看 。 可 以 在 http://www. safefan. com 
(傲气 雄 鹰 网络 安全 小 组 ) 找 到 关于 它们 的 资料 ,做 为 网 络 管理 人 员 最 应 该 熟悉 它们 。 

程序 编写 的 错误 造成 网 络 的 不 安全 性 也 应 受到 重视 ,因为 它 的 不 安全 性 已 被 缓冲 区 
溢出 表现 的 淋漓 尽 致 了 。 


3. 缓冲 区 溢出 保护 


缓冲 区 溢出 的 漏洞 被 发 现 利用 以 来 一 直 都 是 网 络 安全 领域 的 最 大 隐患 ,很 多 安全 人 
士 均 对 这 些 漏洞 做 了 仔细 的 研究 ,但 是 完全 防止 缓冲 区 溢出 往往 因为 这 样 那样 人 为 或 其 
他 的 因素 仍 显得 有 点 力不从心 。 下 面 就 目前 缓冲 区 溢出 漏洞 的 几 种 保护 方法 做 个 简单 
的 描述 。 

1) 正确 的 编写 代码 

在 编写 代码 的 时 候 一 般 不 会 有 人 故意 想 要 发 生 错误 的 ,但 是 丝毫 的 错误 往往 会 造成 
严重 后 果 (C 语言 编写 的 程序 中 字符 串 以 “0” 收尾 ,往往 就 是 一 个 很 不 安全 例子 )。 所 以 
正确 的 编写 代码 是 很 关键 的 。 

在 编写 时 防止 错误 发 生 最 原始 的 方法 就 是 用 gerp 来 找 出 源 代码 中 较 容易 产生 漏洞 
的 库 的 调用 。 像 对 sprintf 和 strcpy 的 调用 ,这 两 个 函数 都 不 会 检查 参数 输入 的 长 度 , 有 
的 在 编写 的 时 候 采 用 了 sprintf 和 strcpy 的 替代 函数 来 防止 ,但 是 还 是 会 有 问题 发 生 。 
因为 这 些 错 误 的 隐蔽 性 ， 所 以 就 bh 现 了 查 错 工具 faultin-jection。faultin-jection 可 以 随时 
通过 人 为 产生 一 些 缓冲 区 溢出 来 找到 代码 的 安全 漏洞 。 只 能 说 faultin-jection 等 类 似 的 


工具 可 以 让 编写 时 缓冲 区 溢出 的 漏洞 更 少 一 点 ,而 完全 没有 则 是 不 现实 的 。 因 为 它们 确 
实 不 可 能 找到 所 有 的 缓冲 区 溢出 漏洞 。 编 写 时 重复 的 检查 代码 漏洞 可 以 使 程序 更 加 完 
美和 安全 。 


2) 非 执 行 的 缓冲 区 

在 老 版 的 UNIX 系统 中 ,程序 的 数据 段 地 址 空间 是 不 可 执行 的 ,这 样 就 使 得 黑客 在 
利用 缓冲 区 植 和 人 代码 时 不 能 执行 。 但 是 现在 的 UNIX 和 Windows 系统 考虑 到 性 能 和 功 
能 的 速率 和 使 用 合理 化 ,大 多 在 数据 段 中 动态 形式 的 放 和 人 了 可 执行 的 代码 ,为 了 保证 程 
序 的 兼容 性 ,不 可 能 使 得 所 有 程序 的 数据 段 不 可 执行 。 但 可 以 只 设 定 堆 栈 数据 段 不 可 执 
行 ,这 样 就 很 大 程度 上 保证 了 程序 的 兼容 性 。UNIX、Linux、Windows、Solaris 都 已 经 发 
布 了 这 方面 的 补丁 。 
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3) 检查 数组 边界 

数组 边界 检查 完全 没有 缓冲 区 溢出 的 产生 ,所 以 只 要 保证 数组 不 溢出 ,那么 缓冲 区 
溢出 攻击 就 只 能 是 望 梅 止 渴 了 。 进 行 数 组 边界 检查 时 ,所 有 对 数组 的 读 写 操作 都 应 该 被 
检查 ,这 样 可 以 保证 对 数组 的 操作 在 正确 的 范围 之 内 。 检 查 数组 是 一 件 烦 琐 的 事情 ,所 
以 利用 一 些 优 化 技术 来 检查 可 减少 负重 。 可 以 使 用 Compaq 公司 专门 为 Alpha CPU 开 
发 的 Compaq C 编译 器 Jones& Kelly 的 C 的 数组 边界 检查 、 Purify 存储 器 存 取 检查 等 来 
进行 。 

所 有 缓冲 区 溢出 漏洞 都 归于 C 语言 的 “功劳 *"。 只 有 类 型 安全 的 操作 才 可 以 被 允许 
执行 ,这 样 就 不 会 出 现 对 变量 的 强制 操作 。Java 和 ML 等 被 认定 为 类 型 安全 的 语言 ,但 
作为 Java 执行 平台 的 Java 虚拟 机 是 C 程序 ,所 以 攻击 JVM 的 途径 就 是 使 JVM 的 缓冲 
区 溢出 。 完 整 性 检查 在 性 能 上 有 着 很 大 的 优势 ,并 且 有 良好 的 兼容 性 。 

对 付 缓冲 区 溢出 攻击 的 方法 有 多 种 ,最 重要 的 是 小 心 编写 正确 的 代码 。 软 件 开发 团 
队 必 须知 道 如 何 编写 安全 的 程序 。 程 序 员 可 以 借助 工具 和 技术 来 编写 对 缓冲 区 溢出 攻 
击 具有 免疫 力 的 代码 段 。 

另 一 种 方法 是 让 程序 代码 的 数据 缓冲 区 (内 存 位 置 ) 地 址 空间 不 可 执行 ,此 类 地 址 空 
间 禁 止 执行 代码 。 攻 击 期 间 ,程序 的 缓冲 区 可 能 已 被 渗透 进入 。 就 像 前 面 讲 的 ,努力 将 
代码 注射 到 程序 空间 中 只 是 缓冲 区 溢出 攻击 的 一 个 条 件 , 另 一 个 关键 的 条 件 是 接管 程序 
的 流 控 。 如 果 在 程序 开发 的 调试 阶段 实施 了 数组 边界 控制 或 者 数组 边界 检查 ,此 类 威胁 
就 可 以 被 消除 。 这 种 检查 能 够 确保 缓冲 区 保持 在 正确 的 预定 义 范围 内 ,也 能 核实 缓冲 区 
根本 不 可 能 溢出 。 


4， 对 策 


本 章 到 这 里 只 是 介绍 了 缓冲 区 溢出 漏洞 .攻击 和 一 些 防 范 方 法 ,理解 缓冲 区 溢出 机 
制 是 很 重要 的 ,因为 它们 是 所 有 目前 网 络 互联 基础 设施 面临 的 远程 渗透 问题 的 根源 。 接 
下 来 的 章节 中 将 会 探讨 这 些 远程 渗透 漏洞 问题 ,并 且 讨 论 更 多 的 防御 和 保护 方法 (访问 
过 滤器 、 和 信 侵 检 测 系统 和 审计 工具 )。 


125 欺骗 技术 


一 般 来 说 ,攻击 者 可 以 利用 欺骗 方法 来 危害 计算 机 系统 。 很 多 人 误 以 为 欺骗 是 一 种 
实际 的 攻击 ,事实 上 欺骗 只 是 攻击 者 在 试图 利用 两 台 主 机 间 关 系 过 程 中 的 一 个 步骤 。 这 
里 要 讨论 的 有 3 种 欺骗 技术 (其 中 而 有 关 IP 地 址 欺骗 还 将 在 第 2 章 中 详细 讨论 ) 。 


1. IP 地 址 欺骗 (IP spoofing) 


在 很 多 攻击 类 型 中 ,攻击 者 都 会 用 另 一 个 地 址 来 蔡 换 发 送 者 的 IP 地 址 ,或 者 比较 少 
见 的 会 更 改 目的 地 址 。IP 欺骗 (IP spoofing) 通 常 被 用 来 突破 一 个 目标 主机 。 此 外 ,IP 欺 
骗 也 被 用 作 发 起 拒绝 服务 (denial-of-service,DoS) 攻 击 。 如 图 1-2 所 示 ,在 一 次 DoS 攻击 
中 ,攻击 者 修改 IP 分 组 ,误导 目标 主机 ,使 其 以 可 信任 主机 方式 接受 最 初 的 分 组 。 攻 击 
者 必须 知道 被 信任 主机 的 IP 地 址 ,并 且 修 改 分 组 头 部 ( 源 IP 地 址 ) ,以 便 让 其 看 起 来 像 是 


22 inats ssntt 


被 信任 的 主机 。 
合法 用 户 ABC 公 司 
(195.112.36.8) 
全 
上 | 公共 网 络 
二 全 全 (Internet) 
黑客 
(201.23.168.7) 
195.112.36.5 | 211.78.35.2 | DATA 
IP 源 地 址 IP 目 的 地 址 _ 国 
DoS 攻 击 Web 服 务 器 
(211.78.35.2) 
1-2 利用 IP 欺骗 进行 DoS 攻击 
2. ARP 欺骗 


地 址 解析 协议 (address resolution protocol,ARP) 提 供 了 将 已 知 IP 地 址 解析 或 映射 
成 MAC 子 层 地 址 的 机 制 。 图 1-3 中 ,两 台 主 机 试图 通过 像 以 太 网 这 样 的 多 访问 介质 开 
始 一 次 对 话 。 
主机 A 主机 B 


118.22.38.4 
118.22.38.2 (080D.0812.012A) 


118.22.38.2 [118.22.38.4 


1 

| 时 
-| 1 网 
080D.0812.012A | 118.22.38.4 RS 
单 播 


黑客 
(正在 嗅 探 数据 ) 
图 1-3 ARP 欺骗 


主机 A 想 要 发 起 和 主机 B 的 会 话 , 但 是 需要 IP 地 址 和 MAC 地 址 。 在 会 话 建立 期 
间 , 主 机 A 只 知道 主机 B 的 IP 地址 118.22.38.4。 为 了 确定 数据 报 的 目的 MAC 地 址 ， 
主机 A 自 先 检查 本 地 的 ARP 缓存 表 , 如 果 MAC 地 址 不 在 此 列 , 主 机 A 就 会 发 送 一 个 
ARP 请 求 , 这 是 一 个 企图 寻找 带 有 IP 地 址 118. 22. 38. 4 的 目的 主机 的 广播 分 组 。 每 一 
个 网 络 中 的 主机 都 能 收 到 。 这 里 没有 真正 的 认证 ,两 台 主 机 间 的 校 验 仅仅 基于 硬件 地 
址 ,这 是 ARP 过 程 的 薄弱 环节 。 借 助 ARP 欺骗 ,攻击 者 就 能 够 利用 这 种 硬件 地 址 认证 
机 制 , 假 冒 主机 B 的 硬件 地 址 。 一 般 来 说 ,攻击 者 能 够 欺骗 本 地 网 络 中 的 任何 主机 或 网 
络 设备 ,使 这 些 设备 相信 攻击 者 的 工作 站 就 是 可 信 的 主机 。 这 种 攻击 手段 常见 于 交换 式 
环境 中 。 
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3. DNS 欺骗 


域名 服务 (domain name service,DNS) 可 以 让 网 络 客户 端 基 于 远程 系统 的 名 字 来 获 
取 其 IP 地 址 。 主 机 向 DNS 服务 器 发 送 包 含 远程 系统 名 字 的 请 求 ,DNS 服务 器 以 相应 的 
IP 地 址 做 出 响应 。DNS 欺骗 是 这 样 一 种 手段 : 黑客 努力 使 目标 主机 相信 ,其 所 要 连接 的 
正 是 攻击 者 的 主机 。 攻 击 者 修改 了 一 些 记录 ,使 主机 的 名 字条 目 对 应 到 攻击 者 的 IP 地 
址 ,这 种 情况 下 整个 DNS 服务 器 都 被 攻击 所 占据 。 


4. 对 策 


要 防止 ARP 欺骗 ,可 以 在 网 络 中 所 有 的 主机 和 路 由 器 上 实施 静态 ARP 表 。 当 然 ， 
也 可 以 用 一 台 ARP 服务 器 来 代表 目标 主机 对 ARP 请 求 做 出 响应 。 为 了 对 付 DNS 欺 
骗 , 可 以 用 反 向 查询 来 检测 攻击 , 反 向 查询 是 一 种 以 名 字 来 校 验 IP 地 址 的 机 制 。IP 地 址 
和 名 字 文 件 通 常 保持 在 不 同 的 服务 器 上 ,这 可 以 让 破坏 活动 更 难 实施 。 到 现在 ,只 是 讨 
论 两 种 欺骗 手段 以 及 相关 对 策 , 更 多 预防 和 保护 方法 (访问 过 滤器 、 入 侵 检测 系统 和 审计 
工具 ) 可 在 后 续 章 节 中 看 到 。 
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131 网 络 安全 的 现状 


1. 近 几 年 网 络 安全 回顾 


随 着 网 络 的 技术 不 断 发 展 .进步 ,网 络 安全 面临 的 挑战 也 在 增 大 。 一 方面 ,对 网 络 的 
攻击 方式 层出不穷 。 随 着 硬件 技术 和 并 行 技术 的 发 展 , 计 算 机 的 计算 能 力 迅速 提高 , 原 
来 认为 安全 的 加 密 方式 有 可 能 失效 。1996 年 报道 的 攻击 方式 有 400 种 ,1997 年 达到 
1000 种 ,1998 年 达到 4000 种 ,两 年 间 增 加 了 十 倍 。 攻 击 方式 的 增加 意味 着 对 网 络 威胁 
的 增 大 。 随 着 解密 理论 硬件 技术 和 并 行 技术 的 发 展 ,计算 机 的 计算 能 力 迅速 提高 。 原 
来 认为 安全 的 加 密 方式 有 可 能 失效 ,如 1994 年 4 月 26 日 人 们 用 计算 机 破译 了 RSA 发 明 
人 17 年 前 提出 的 数学 难题 “一 个 129 位 数字 中 包含 的 一 条 密语 ”, 而 在 问题 提出 时 预测 
该 问题 用 计算 机 需要 850 万 年 才能 分 解 成 功 。 针 对 安全 通信 措施 的 攻击 也 不 断 取得 进 
展 ,如 1990 年 6 月 20 日 美国 科学 家 找到 了 155 位 大 数 因 子 的 分 解 方法 ,使 “美国 的 加 密 
体制 受到 威胁 ”。 近 年 来 我 国 科学 家 在 破解 HASH 函数 方面 取得 了 长 足 进 步 , 成 功 破 解 
了 著名 的 MD5 和 其 他 几 个 HASH 函数 。 

另 一 方面 网 络 应 用 范围 的 不 断 扩 大 ,特别 是 人 类 社会 生活 对 Internet 需求 的 日 益 增 
长 ,使 人 们 对 网 络 依赖 的 程度 增 大 ,网 络 安全 逐渐 成 Internet 及 各 项 网 络 服务 和 应 用 进 
一 步 发 展 的 关键 问题 。1993 年 以 后 Internet 开始 商用 化 ,通过 Internet 进行 的 各 种 电子 
商务 业务 日 益 增多 ,加 之 Internet/Intranet 技术 日 趋 成 熟 ,很 多 组 织 和 企业 都 建立 了 自己 
的 内 部 网 络 并 与 Internet 连通 。 上 述 电 子 商 务 应 用 和 企业 网 络 中 的 商业 秘密 均 成 为 攻 
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击 者 攻击 的 目标 。 据 统计 ,目前 网 络 攻击 手段 有 数 千 种 之 多 ,使 网 络 安全 问题 变 得 极其 
严峻 。 据 美国 商业 杂志 《信息 周刊 ) 公 布 的 一 项 调查 报告 称 黑客 攻击 和 病毒 等 安全 问题 
在 2000 年 造成 了 上 万 亿美 元 的 经 济 损失 ,在 全 球 范围 内 每 数秒 钟 就 发 生 一 起 网 络 攻击 
事件 。 

从 网 络 安 全 威胁 的 发 展 趋势 上 看 .系统 漏洞 问题 ,混合 了 黑客 攻击 和 病毒 特征 于 一 
体 的 网 络 攻击 和 以 窃取 用 户 机 密 数 据 为 目的 的 威胁 .将 成 为 近 几 年 网 络 安全 威胁 的 主要 
形式 。 除 了 微软 的 漏洞 外 ,目前 像 思 科 路 由 器 、Oracle 数据 库 、Linux 操作 系统 、 移 动 通信 
系统 以 及 很 多 特定 的 应 用 系统 中 , 均 存 在 着 大 量 的 漏洞 。 系 统 漏洞 从 出 现 到 被 利用 之 间 
的 时 间 将 会 越 来 越 短 , 直 至 零 时 间 。2003 年 8 月 份 出 现 的 "冲击波" 病毒 利用 的 是 仅 公 
了 26 天 的 漏洞 。 控 制 系统 中 的 漏洞 已 成 为 人 们 必须 要 考虑 的 首要 问题 。 目 前 的 病毒 早 
已 不 再 是 传统 的 病毒 了 ,而 是 集 黑 客 攻 击 和 病毒 特征 于 一 体 的 网 络 攻击 行为 。 针 对 这 种 
混合 性 的 威胁 仅仅 靠 反 病毒 产品 是 无 法 对 付 的 ,必须 增加 防火 墙 .IDS 以 及 反 病 毒 等 综合 
防范 措施 。 此 外 ,虽然 近来 的 一 些 恶意 代码 只 是 阻塞 网 络 , 引 起 网 络 速度 的 极端 下 降 , 但 
是 一 些 以 窃取 用 户 机 密 数 据 的 威胁 开始 在 网 上 流行 ,如 网 络 钓鱼 (Phishing, 是 Fishing 和 
Phone 的 综合 体 。 由 于 黑客 始祖 起 初 是 以 电话 作案 ,所 以 用 Ph 来 取代 下 ,创造 了 
Phishing)。 钓 鱼 式 攻 击 利用 欺骗 性 的 电子 邮件 和 伪造 的 Web 站 点 来 进行 诈骗 活动 , 企 
图 通过 电子 邮件 或 即时 通信 信息 ,把 用 户 诱骗 至 有 官方 外 观 的 假冒 网 站 ,冒充 真正 需要 
信息 的 人 ,欺诈 性 地 获取 敏感 的 个 人 信息 (比如 密码 和 信用 卡 细节 ) 的 行为 ,是 社会 工程 
攻击 的 一 种 形式 。 受 骗 者 往往 会 泄露 自己 的 财务 数据 ,如 信用 卡号 ,账户 用 户 名 ,密码 和 
社保 编号 等 内 容 。 诈 骗 者 通常 会 将 自己 伪装 成 知名 银行 .在线 零售 商 和 信用 卡 公司 等 可 
信和 品牌 ,在 所 有 接触 诈骗 信息 的 用 户 中 ,有 高 达 5% 的 人 都 会 对 这 些 骗 局 做 出 响应 。 早 期 
的 案例 主要 在 美国 发 生 , 但 随 着 亚洲 地 区 的 Internet 服务 日 渐 普遍 ,有 关 攻 击 也 开始 在 
亚洲 各 地 出 现 。 从 外 观看 ,与 真正 的 银行 网 站 无 异 , 却 在 用 户 以 为 是 真正 的 银行 网 站 而 
使 用 网 络 银行 等 服务 时 将 用 户 的 账号 及 密码 窃取 ,从 而 使 用 户 蒙受 损失 。 防 止 在 这 类 网 
站 受害 的 最 好 办 法 就 是 记 住 正 宗 网 站 的 网 址 ,并 当 链接 到 一 个 银行 网 站 时 ,对 网 址 进行 
仔细 对 比 。 在 2003 年 ,香港 地 区 也 有 多 起 此 类 案例 出 现 , 有 网 站 假冒 尚未 开通 网 上 银行 
服务 的 银行 ,利用 虚假 的 网 站 引诱 客户 在 网 上 进行 转账 ,但 其 实 把 资金 转 到 网 站 开设 者 
的 账户 内 。 而 从 2004 年 开始 ,有 关 诈 骗 也 开始 在 中 国内 地 出 现 , 曾 出 现 过 多 个 假冒 的 银 
行 网 站 ,比如 假冒 的 中 国 工商 银行 网 站 。 


2. 网 络 安全 新 趋势 


目前 ,攻击 方式 主要 是 利用 各 种 恶意 插件 控制 用 户 的 计算 机 ,支持 Storm 网 络 的 更 
新 和 发 展 。 此 外 ,使 用 受 感染 的 系统 托管 特定 的 登录 页 ,这 些 登 录 页 与 垃圾 邮件 、 网 络 钓 
鱼 和 信息 欺诈 中 包含 的 内 容 直 接 相 关 。 从 2007 年 11 月 份 开 始 , 网 络 系统 攻击 渐渐 成 为 
了 主流 。 在 2007 年 ,网 络 安全 威胁 出 现 了 两 个 新 的 现象 : 一 是 具有 “链接 型 "特征 的 混合 
攻击 出 现 ; 二 是 平台 化 攻击 。 大 量 的 经 验 表明 ,当前 安全 威胁 的 主要 趋势 是 复杂 度 提高 。 
大 量 的 黑客 采用 垃圾 邮件 、 恶 意 软 件 和 数据 窃贼 等 传统 的 攻击 手段 。 但 是, 这 些 攻击 却 
变 得 更 加 复杂 ,而 且 得 到 不 断 改 进 。 
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回顾 2007 年 的 重大 事件 就 可 以 发 现 ,以 Flux( 钓 鱼 、 恶 意 软 件 隐藏 技术 ) 分布 式 命 
令 和 控制 (DC) ,循环 利用 包 (REP) 为 代表 的 攻击 技术 不 断 出 现 。 此 前 趋势 科技 的 安全 专 
家 表示 ,当前 很 多 专业 攻击 者 甚至 开始 创建 后 端 恶意 软件 管理 系统 ,以 维持 感染 机 器 的 
数量 并 及 时 监控 插件 的 利用 效果 。 从 去 年 开始 ,具有 “链接 型 "特征 的 混合 威胁 攻击 不 断 
出 现 ,通过 利用 垃圾 邮件 ,其 内 建 的 链接 指向 攻击 者 网 站 或 者 钓鱼 站 点 , 意 在 感染 用 户 的 
计算 机 或 者 直接 进行 欺诈 。 新 型 的 混合 威胁 利用 垃圾 邮件 作为 传播 的 源头 ,整合 了 钓鱼 
和 恶意 欺诈 的 攻击 形式 ,在 攻击 的 同时 还 在 被 攻击 的 计算 机 中 种 植 僵尸 程序 ,并 借助 邮 
件 和 僵尸 网 络 一 起 扩大 影响 。 

利用 垃圾 邮件 作为 攻击 源头 ,同时 整合 僵尸 网 络 技术 进行 多 渠道 扩散 ,已 经 成 为 当 
前 混合 威胁 的 新 形式 。 由 于 此 类 攻击 的 整合 性 可 以 将 钓鱼 .恶意 插件 等 多 种 供给 手段 组 
合 于 其 中 ,因此 威胁 相当 可 观 。 目 前 在 此 领域 以 Feebs 和 Clagger 攻击 最 有 代表 性 。 此 
外 ,为 了 便于 进行 网 络 钓鱼 ,通过 URL 而 不 是 传统 的 邮件 扩散 的 Feebs 攻击 的 爆发 次 数 
也 大 大 增多 。 根 据 IDC 的 统计 ,利用 URL 开展 网 络 钓鱼 的 恶意 攻击 平均 每 年 增加 
253% ,并 表现 出 了 多 阶段 攻击 发 展 中 的 分 布 趋势 ,这 些 攻击 尝试 以 多 种 方式 发 送 看 起 来 
无 害 (如 纯 链 接 的 电子 邮件 ) 的 信息 ,但 是 当 其 中 的 URL 指向 一 个 被 恶意 软件 感染 的 
Web 服务 器 时 ,会 导致 严重 的 安全 风险 。 

如 果 说 Feebs 和 Clagger 开启 了 多 渠道 攻击 的 大 门 ,那么 Storm 的 出 现 则 将 平台 化 
攻击 引入 现实 。Storm 系列 恶意 软件 联合 新 开发 的 和 现 有 的 恶意 软件 技术 ,创建 了 一 个 
高 度 复杂 的 攻击 平台 。Storm 将 不 同 的 技术 整合 成 一 个 更 大 的 系统 ,无 论 是 在 源头 还 是 
规模 方面 ,这 个 系统 都 更 难于 追踪 ,其 行动 快速 .动力 十 足 。 作 为 混合 性 威胁 , 它 使 用 电 
子 邮件 和 Web 进行 双重 攻击 。 事 实 上 ,Storm 威胁 的 精 骨 在 于 整合 后 的 “饱和 攻击 ”, 在 
安全 业界 Storm 经 常 被 称 做 Storm 木马 、Storm 僵尸 网 络 ,Storm 蠕虫 、Storm 垃圾 邮件 
引擎 .Storm 分 布 式 拒 绝 服务 网 络 。 这 说 明了 Storm 具有 各 种 特征 ,也 说 明 它 是 一 种 新 
型 的 恶意 软件 ,一 种 可 重复 再 生 的 恶意 软件 。 这 种 威胁 将 钓鱼 .欺诈 .恶意 软件 .木马 .人 
侵 等 多 种 手段 集 于 一 身 ,防不胜防 。 

目前 来 看 ,能 够 称 为 "平台 化 袭击 ”的 技术 前 提 至 少 有 六 个 。 

(1) 能 够 实现 自我 繁殖 。Storm 以 发 送 海量 垃圾 邮件 方式 进行 扩散 。 用 户 被 指向 多 
个 不 断 变化 的 URL ,这些 URL 为 Storm 恶意 软件 服务 。 系 统 如 果 被 感染 ,就 会 成 为 
Storm 网 络 的 一 部 分 。 

(2) 对 等 性 。 以 前 的 僵尸 网 络 是 通过 一 个 分 等 级 的 管理 结构 被 集中 控制 ,而 Storm 
节点 通过 独特 的 对 等 通信 协议 互相 联络 ,所 以 要 追踪 其 总 规模 十 分 困难 。 

(3) 协作 特性 。Storm 发 送 指 向 其 他 Storm 计算 机 托管 的 网 页 的 垃圾 邮件 ,其 网 络 
发 起 攻击 的 方式 异常 复杂 。 

(4) 可 重用 性 。 以 前 的 恶意 软件 攻击 是 神 风 突 击 队 式 的 。 一 旦 发 动 ,就 会 一 直 运行 ， 
直至 油 尽 机 上 毁 ,最 终 在 互联 网 中 消失 。 而 Storm 不 是 一 次 性 的 恶意 软件 , 它 是 一 个 可 以 
改变 、 延 伸 和 重用 的 平台 。 这 种 适应 性 使 得 它 在 2007 年 生存 发 展 下 来 ,并 迈进 2008 年 。 

(5) 集成 性 。Storm 可 用 来 发 动 多 种 攻击 ,如 垃圾 邮件 、 网 络 钓鱼 和 DDoS 等 。 它 还 
因 和 危害 IM 网 络 和 张贴 垃圾 博客 信息 而 成 为 多 种 网 络 协议 的 主要 威胁 。 
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(6) 自我 防御 。 作 为 平台 化 袭击 的 核心 ,Storm 能 够 监控 逆向 工程 或 分 析 迹 象 , 针 对 
研究 者 和 反 垃 圾 邮件 组 织 反复 发 动 拒绝 服务 攻击 。 

根据 目前 披露 的 信息 可 以 发 现 ,Storm 集 电 子 邮 件 和 Web 攻击 于 一 身 , 形 成 一 个 双 
重 攻击 系统 , 随 之 形成 了 一 种 有 趣 的 同步 现象 : Storm 僵尸 网 络 发 送 垃圾 邮件 ,其 他 僵尸 
网 络 专注 于 恶意 网 页 。 这 样 一 来 ,就 大 大 提高 了 网 络 钓鱼 和 交易 欺诈 的 效率 。 

此 外 ,为 了 使 Storm 病毒 的 危害 更 大 ,很 多 专业 黑客 在 其 中 加 入 了 Drive-by 浏览 器 
劫持 程序 ,无 须 下 载 任何 可 执行 文件 ,仅仅 通过 浏览 网 页 就 能 够 感染 易 受 攻击 和 未 打 补 
丁 的 计算 机 。 

一 旦 用 户 中 招 ,被 Storm 感染 的 系统 将 连接 成 一 个 对 等 的 P2P 网 络 , 以 保持 宛 余 和 
分 布 式 通信 。 在 Storm 出 现 之 前 ,僵尸 网 络 依靠 集中 指挥 和 控制 的 结构 ,它们 经 常 使 用 
IRC 通道 ,等 待 操纵 者 的 指令 。 但 是 ,这 种 设计 有 一 个 弱点 ,通过 关闭 中 央 IRC 通道 或 阻 
截 对 其 的 访问 ,就 能 有 效 地 使 僵尸 网 络 * 身 首 异 处 ”, 使 之 成 为 一 堆 废 物 。Storm 吸取 了 这 
些 弱 点 的 教训 , 转 而 采用 分 布 式 指挥 和 控制 结构 。 

为 了 保持 生命 力 和 预防 逆向 工程 ,Storm 具备 了 自我 防御 特性 。 如 果 对 它 的 检查 太 
接近 , 它 会 自动 地 发 动 分 布 式 拒绝 服务 攻击 。 在 此 情况 下 , 当 一 个 新 的 系统 加 入 Storm 
网 络 , 它 会 被 用 来 执行 各 种 类 型 的 攻击 ,包括 发 送 Storm 吸收 垃圾 邮件 以 发 展 Storm 网 
络 ; 为 网 络 钓鱼 和 恶意 网 页 服务 ;攻击 即时 通信 客户 ;提供 Fast-fulx 和 DNS 解决 方案 ;在 
网 站 上 张贴 垃圾 博客 信息 。 另 外 ,Storm 僵尸 网 络 能 够 根据 需要 改变 用 途 , 进行 循 环 攻 
击 。 整 个 网 络 能 够 保持 同步 和 协作 ,以 确保 垃圾 邮件 与 基于 Web 的 登录 页 面 的 联系 。 


132 网 络 安全 技术 的 发 展 


网 络 安全 经 过 了 20 多 年 的 发 展 ,已 经 发 展 成 为 一 个 跨 多 门 学 科 的 综合 性 科学 , 它 包 
括 了 通信 技术 、 网 络 技术 、 计 算 机 硬件 设计 技术 、 计 算 机 软件 技术 、 密 码 学 、 网 络 与 计算 机 
安全 技术 等 。 

从 理论 上 分 析 , 网 络 安全 是 建立 在 密码 学 和 网 络 安全 协议 的 基础 上 的 。 密 码 学 是 网 
络 安全 的 核心 ,利用 密码 技术 可 以 对 信息 进行 加 密 传输 、 加 密 存 储 、 数 据 完整 性 鉴别 、 用 
户 身份 鉴别 等 。 它 比 传统 意义 上 简单 的 存 取 控制 授权 等 技术 更 可 靠 。 加 密 算法 是 一 个 
公式 和 法 则 , 它 规定 了 明文 和 密 文 之 间 的 变换 方法 。 由 于 加 密 算法 的 公开 化 和 解密 技术 
的 发 展 ,再 加 上 发 达 国 家 对 关键 加 密 算 法 的 出 口 限制 ,各 个 国家 正 不 断 致 力 于 开发 和 设 
计 新 的 加 密 算法 和 加 密 机 制 。 对 于 安全 协议 方面 ,众多 标准 化 组 织 制 定 了 许多 标准 和 草 
案 , 尤 其 是 以 RFC 文稿 出 现 的 协议 标准 更 是 成 了 网 络 安全 设备 的 基础 ,例如 ,虚拟 专用 
网 (virtual private network,VPN) 技 术 就 是 建立 在 安全 隧道 基础 上 的 ,点 对 点 的 隧道 协 
议 (PPTP: RFC2637) 和 第 2 层 隧道 协议 (L2TP: RFC2661) 提 供 了 远程 PPP 客户 到 
LAN 的 安全 隧道 。 因 此 ,网 络 安全 的 实现 需要 不 断 发 展 和 开发 满足 新 的 需求 的 安全 
协议 。 

从 技术 上 分 析 , 网 络 安全 取决 于 两 个 方面 : 网 络 设备 的 硬件 技术 和 软件 技术 。 网 络 
安全 是 由 网 络 设备 的 软件 和 硬件 互相 配合 来 实现 的 。 但 是 ,由 于 网 络 安全 作为 网 络 对 其 
信息 提供 的 一 种 增值 服务 ,往往 会 发 现 安全 软件 的 处 理 速 度 成 为 网 络 系 统 的 “瓶颈 ”"。 因 
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此 ,将 网 络 安 全 的 密码 算法 和 安全 协议 用 硬件 实现 ,实现 线 速 的 安全 处 理 仍然 将 是 网 络 
安全 发 展 的 一 个 主要 方向 。 

因此 ,在 安全 技术 不 断 发 展 的 同时 ,全 面 加 强 安全 技术 的 应 用 也 是 网 络 安全 发 展 的 
一 个 重要 内 容 。 因 为 即使 有 了 网 络 安全 的 理论 基础 ,没有 对 网 络 安全 的 深刻 认识 和 广泛 
地 将 它 应 用 于 网 络 中 ,那么 谈 再 多 的 网 络 安全 也 是 无 用 的 。 例 如 ,系统 的 安全 构架 建立 、 
安全 设备 的 应 用 、 安 全 制度 与 安全 培训 、 各 种 恶意 代码 的 防范 .服务 器 数据 的 安全 备份 等 
应 用 。 同 时 ,网 络 安全 不 是 病毒 防治 .入侵 检测 .防火墙 、 身份 认证 .加 密 等 产品 的 简单 堆 
砌 ,而 是 包括 从 系统 到 应 用 、 从 设备 到 服务 的 完整 的 ,体系 性 的 安全 系列 产品 的 有 机 
结合 。 

对 于 我 国 而 言 , 网 络 安全 的 发 展 趋势 将 是 逐步 具备 自主 研制 网 络 设 备 的 能 力 , 自 发 
研制 关键 芯片 ,采用 自己 的 操作 系统 和 数据 库 以 及 使 用 国产 的 网 络 管理 软件 。 中 国 计 算 
机 安全 的 关键 是 要 有 自主 的 知识 产权 和 关键 技术 ,从 根本 上 摆脱 对 外 国 技术 的 依赖 。 

通过 以 上 内 容 可 以 看 出 ,网 络 安全 是 个 系统 工程 。 只 有 当 网 络 中 每 个 用 户 都 具备 了 
网 络 安全 防范 意识 ,并 且 实 现 了 安全 服务 与 机 制 , 安 全 应 用 与 管理 的 全 面 结 合 ,才能 构建 
一 个 具有 整体 防御 能 力 的 安全 网 络 系统 。 
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从 网 络 诞生 的 那 一 天 开始 ,应 用 与 安全 之 间 的 博弈 就 一 直 示 曾 停 止 。 病 毒 和 蠕虫 让 
终端 PC 无 法 正常 高 效 运行 ,后 门 程序 和 木马 让 企业 保密 信息 时 刻 经 受 被 泄露 的 危险 ， 
DoS/DDoS 攻击 和 黑客 的 恶意 破坏 不 时 让 企业 的 网 络 面临 瘫痪 边缘 ,更 不 用 说 更 多 由 于 
应 用 和 管理 不 完善 为 业务 网 络 带 来 的 种 种 问题 。 于 是 防火 墙 、 防 毒 墙 \ 人 侵 检测 \ 入 侵 防 
护 防 病毒 软件 等 越 来 越 多 的 安全 产品 部 署 在 了 网 络 之 中 ,但 是 在 各 种 安全 威胁 的 面前 ， 
网 络 却 始终 处 于 被 动 。 难 道 在 网 络 安全 威胁 面前 就 束手无策 了 么 ? 当然 不 是 。 我们 所 
欠缺 的 是 对 安全 防护 的 综合 匹配 ,将 安全 防护 深度 融合 到 业务 网 络 之 中 ,并 由 被 动 防护 
转变 为 主动 防御 ,才能 在 日 渐 繁复 的 网 络 环境 中 应 对 自如 。 


1. 主动 防御 ,应 对 下 一 代 安 全 隐患 


进入 新 世纪 以 来 , 随 着 各 种 企业 业务 对 网 络 的 依赖 性 日 益 增 加 ,基于 网 络 平台 的 
DoS 攻击 由 蠕虫 .病毒 木马 程序 相 结合 的 混合 攻击 以 及 广泛 出 现 的 系统 漏洞 攻击 、 黑 客 
攻击 和 Turbo 蠕虫 等 安全 威胁 也 日 益 泛 滥 , 且 传播 速度 也 加 快 到 以 分 钟 计 , 原 有 的 以 人 
工 防 御 为 主 的 安全 措施 则 逐步 淘汰 ,取而代之 的 是 以 硬件 防护 产品 为 主 的 自动 响应 防护 
工具 。 然 而 虽然 自动 响应 的 安全 防护 措施 能 够 基本 满足 当前 的 网 络 安全 需求 ,但 不 难看 
到 在 近年 来 日 趋 频繁 的 针对 基础 设施 漏洞 的 破坏 性 攻击 、 由 大 规模 蠕虫 和 DDoS 攻击 导 
致 的 瞬间 网 络 威胁 以 及 破坏 有 效 负载 的 病毒 和 里 虫 ,将 成 为 下 一 代 网 络 威胁 的 主体 。 安 
全 威胁 的 传播 速度 也 将 提升 到 以 秒 计 , 对 当前 安全 设备 的 自动 响应 能 力 将 提出 全 新 的 挑 
战 , 正 是 在 这 样 的 趋势 引导 下 为 应 对 即将 到 来 的 下 一 代 网 络 安全 隐患 ,有 必要 提前 进行 
部 署 ,将 业务 网 络 的 安全 防护 由 现在 的 自动 响应 升级 为 主动 防御 和 阻挡 ,只 有 如 此 网 络 
安全 防护 才能 在 未 来 与 安全 威胁 的 时 间 赛 跑 中 占据 领先 的 地 位 。 
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2. 深度 渗透 打造 综合 防御 


目前 企业 所 面临 的 安全 问题 越 来 越 复杂 ,安全 威胁 正在 飞速 增长 ,尤其 混合 威胁 的 
风险 (如 蠕虫 .DDoS 攻击 .垃圾 邮件 等 ) 极 大 地 困扰 着 用 户 , 给 企业 的 网 络 造成 严重 的 破 
坏 。 那 么 如 何 才能 实现 企业 业务 网 络 的 最 有 效 防 护 呢 ? 显然 ,首先 需要 打破 传统 的 希望 
安全 防护 产品 “一 夫 当 关 、 万 夫 莫 开 ” 的 理想 化 期 待 , 未 来 的 网 络 安全 防护 必然 是 深度 融 
合 在 各 个 业务 网 络 模块 内 协同 工作 的 综合 防御 体系 。 一 些 业内 专家 指出 经 过 数 年 的 技 
术 发 展 , 基 于 专业 ASIC 芯片 和 NP 技术 的 硬件 防火 墙 虽然 防护 能 力 和 过 滤 性 能 均 有 了 
大 幅度 的 提升 ,但 仅仅 依靠 防火 墙 来 实现 全 网 安全 是 不 可 行 的 。 目 前 造成 网 络 威胁 的 诱 
因 有 很 多 不 能 够 为 防火 墙 所 识别 。 一 方面 , 随 着 企业 内 部 网 络 越 来 越 庞 大 和 复杂 , 越 来 
越 多 的 网 络 威胁 可 能 来 自 于 企业 内 部 ,包括 病毒 的 传播 ,非法 流量 甚至 于 恶意 破坏 都 可 
能 是 在 “ 门 ” 里 面 进 行 的 。 那 么 “ 门 ” 的 隔离 效果 显然 不 能 实现 ,而 这 些 威胁 足以 让 企业 的 
网 络 面临 瘫痪 。 另 一 方面 ,防火 墙 基本 都 是 针对 网 络 结构 的 L3 一 L4 层 的 安全 防护 ,而 现 
在 越 来 越 多 的 威胁 均 来 自 于 应 用 层 , 即 网 络 结 构 的 L7 层 ,相当 于 更 多 的 安全 威胁 都 会 
“调整 体形 ”, 然 后 以 * 门 ?所 能 接受 的 规格 和 尺寸 顺利 进入 企业 网 络 。 由 此 可 见 防火 墙 固 
然 必 不 可 少 , 但 是 却 远 远 不 够 。 据 相关 数据 统计 ,如 果 单独 依靠 防火 墙 仅 能 够 抵御 约 
20% 左 右 的 安全 威胁 。 因 此 ,需要 对 安全 威胁 进行 更 深层 次 的 防护 才能 够 确保 安全 。 目 
前 业内 比较 常见 的 包括 IDS( 入 侵 检测 系统 ) 和 IPS( 入 侵 防护 系统 ) 两 种 都 是 针对 应 用 层 
威胁 所 采取 的 安全 措施 。IDS 相当 于 在 室内 安装 了 可 以 监视 所 有 人 员 物品 的 “摄像 关 ”， 
一 旦 有 安全 隐患 在 室内 发 生 , 摄 像 头 就 会 第 一 时 间 进 行 系统 报警 让 管理 人 员 进行 及 时 处 
理 。 然 而 网 络 威胁 的 传播 速度 正在 以 分 秒 为 单位 快速 蔓延 ,IDS 尽管 能 够 在 第 一 时 间 发 
现 问题 却 无 法 直接 处 理 这 个 时 间 差 ,往往 造成 企业 的 大 量 损失 。IPS 的 出 现 则 恰恰 弥补 
了 IDS 的 不 足 , 它 就 像 一 道 “ 纱 窗 "安装 在 防火 墙 开辟 的 “窗口 "上 ,有 效 地 对 出 人 企业 的 
数据 进行 深层 次 的 检测 ,并 把 非法 流量 和 安全 隐患 在 第 一 时 间 * 拒 之 门 外 ”。 然而 , 面 对 
越 来 越 复杂 的 网 络 应 用 环境 ,要 真正 实现 端 到 端的 网 络 安全 ,只 有 将 安全 防护 全 面 渗透 
进 网 络 应 用 的 各 个 环节 ,使 之 成 为 一 张 安全 的 网 络 , 才 能 在 未 来 安全 与 威胁 的 博弈 中 占 
得 先 机 。 不 难看 出 主动 防御 和 深度 渗透 的 综合 安全 防护 网 络 的 时 代 正 在 迎面 走 来 。 


3. 进入 全 面 防 御 时 代 


综 上 所 述 ,当前 的 安全 危机 与 形式 的 复杂 度 均 超 过 了 以 往 , 用 户 的 安全 威胁 是 全 方 
位 的 ,传统 上 仅仅 依靠 简单 产品 就 能 确保 安全 的 时 代 已 经 过 去 了 , 面 对 复杂 的 垃圾 邮件 、 
网 络 钓 鱼 和 恶意 欺诈 ,有 效 的 应 对 之 道 将 是 全 面 防御 ,从 网 络 和 应 用 的 各 个 层次 人 手 , 保 
持 安全 的 上 下 可 控 。 

举例 来 看 ,以 往 很 多 安全 厂商 提出 了 用 传统 型 URL 过 滤器 对 网 站 进行 分 类 ,以 拦截 
危险 的 网 站 或 行为 。 但 是 , 当 受 信 网 站 被 黑 并 携带 恶意 代码 时 ,这 样 做 便 无 法 提供 有 效 
的 保护 。 对 于 企业 来 说 ,这 种 技术 上 的 变化 使 得 员工 即使 进行 “安全 浏览 ”, 避 免 接 触 有 
问题 的 网 站 ,也 会 带 来 风险 。 再 比如 许多 Mpack 攻击 采用 恶意 软件 来 感染 系统 ,试图 从 
受 感染 的 系统 盗窃 数据 ,并 将 其 发 送 回 大 本 营 。 但 目前 许多 企业 配置 的 防火 墙 设计 无 法 
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监控 或 拦截 从 公司 网 络 内 部 发 起 的 数据 传输 ,特别 是 当 这 些 传输 以 正常 的 用 户 活 动 为 基 
础 的 时 候 。 另 外 ,即使 企业 采取 对 进入 的 电子 邮件 流 进 行 病毒 扫描 ,以 及 使 台式 机 的 防 
病毒 软件 保持 更 新 等 措施 ,也 同样 无 法 满足 要 求 。 因 为 Mpack 利用 被 认为 是 安全 网 站 的 
HTTP ,并 不 涉及 电子 邮件 渠道 。 

对 此 当前 很 多 新 型 攻击 的 多 阶段 .多 协议 特性 使 得 以 前 的 一 些 最 佳 安全 实践 变 得 过 
时 。 一 流 的 防 垃 圾 邮件 网 关 在 多 样 性 和 数量 方面 ,也 无 法 跟 上 垃圾 邮件 的 发 展 速 度 。 在 
保护 用 户 免 遭 许多 通过 HTTP 发 出 的 新 型 攻击 方面 .传统 的 Web 代理 设备 (充当 缓存 并 
强制 执行 Web 浏览 安全 策略 ) 已 经 无 法 满足 要 求 。 

因此 ,当前 业界 一 致 认为 ,如 果 要 在 这 种 混合 攻击 的 前 提 下 防御 网 络 钓 鱼 、 垃 圾 邮 
件 , 以 及 恶意 软件 欺诈 等 威胁 ,用 户 就 必须 从 以 下 四 点 考虑 安全 建设 的 蓝图 。 

1) 保护 Web 数据 流 的 安全 

无 疑 ,Web 环节 已 经 成 为 企业 威胁 的 入 口 , 在 此 领域 部 署 全 面 的 Web 安全 网 关 ( 包 
括 HTTP 过 滤 网 关 ) 将 是 不 可 忽视 的 一 环 。 需 要 注意 的 是 , Web 安全 网 关 并 非 传 统 的 
URL 过 滤 。 事 实 上 ,即使 企业 用 户 部 署 了 URL 过滤 方案 来 对 个 人 Web 使 用 行为 进行 
控制 和 报告 ,这 些 数据 库 也 不 足以 避免 恶意 软件 下 载 到 企业 的 网 络 之 中 。URL 过 滤器 
的 安全 分 类 保护 在 一 个 阶段 内 是 静态 的 ,无 法 提供 全 程 实时 的 Web 对 象 扫描 。 经 验证 
明 ,依靠 安全 清单 防御 恶意 软件 ,类似 于 使 用 静态 的 黑 名 单 来 防御 垃圾 邮件 ,效果 非常 有 
限 。 恶 意 软件 分 发 者 将 其 恶意 代码 插入 遭 到 入 侵 的 “合法 ”网 站 的 技术 越 进步 ,URL 过 
滤 保护 就 越 无 用 。 

2) 部 署 对 电子 邮件 的 预防 性 保护 措施 

随 着 一 系列 新 型 恶意 木马 、 病 毒 的 发 展 ,“ 传 统 的 "病毒 分 发 途径 (电子 邮件 ) 依 旧 需 
要 先进 的 保护 措施 。 对 用 户 来 说 ,可 扩展 的 多 核心 垃圾 防护 设备 是 未 来 的 发 展 方向 。 另 
外 ,一 些 安全 厂商 开始 采用 IP 声誉 系统 来 过 滤 垃 圾 邮件 站 点 ,这 样 在 连接 层 拦截 输入 的 
攻击 ,降低 了 防 垃圾 邮件 网 关 和 网 络 总 体 数据 流通 的 负担 。 

3) 预防 企业 数据 丢失 

此 前 深信 服 的 安全 专家 邬 迪 在 接受 采访 时 表示 ,很 多 木马 程序 旨 在 扫描 用 户 的 硬 
盘 , 将 重要 信息 (账号 .密码 等 ) 发 送 回 指挥 控制 中 心 。 但 是 ,没有 感染 木马 也 有 可 能 丢失 
数据 ,其 中 主要 是 由 于 企业 的 员工 失误 造成 的 。 因 此 他 的 看 法 是 ,防范 外 部 威胁 进入 网 
络 盗 取 重要 信息 至 关 重 要 。 与 此 同时 ,针对 可 能 的 违反 政策 行为 对 输出 的 通信 进行 扫描 
或 者 延 时 审计 也 非常 有 必要 。 

4) 跟踪 重要 通信 

对 于 企业 防御 系统 来 说 ,有 一 个 事实 必须 认识 到 ,当前 以 垃圾 邮件 为 载体 的 钓鱼 和 
欺诈 攻击 数量 在 翻番 增长 。 在 这 种 情况 下 .企业 需要 对 邮件 系统 进行 控制 与 追踪 。 据 了 
解 ,目前 国内 已 经 出 现 了 可 对 电子 邮件 信息 进行 实时 追踪 的 新 技术 ,这 种 技术 与 物理 包 
于 投递 时 所 使 用 的 技术 类 似 。 有 安全 专家 表示 ,这 种 技术 将 为 企业 的 法 规 遵 从 性 建设 提 
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1. 填空 题 
(1) 一 般 情况 下 机 密 性 机 构 的 可 见 性 要 比 公 益 性 机 构 的 可 见 性 ( 填 高 或 
类 
(2) 计算 机 网 络 安全 受到 的 威胁 主要 有 : 和 
(3) 对 数据 库 构 成 的 威胁 主要 有 : 算 改 、 损 坏 和 o 
(4) UNIX 和 Windows 2000/2003 操作 系统 能 够 达到 安全 级 别 是 
(5) 网 络 系统 的 是 指 保证 网 络 系统 不 因 各 种 因素 的 影响 而 中 断 正 常 工作 。 
2. 问答 题 


(1) 什么 是 网 络 安全 ? 

(2) 目前 网 络 安全 的 主要 威胁 及 隐患 有 哪些 方面 ? 
(3) 如 何 理解 网 络 安全 的 基本 需求 和 管理 策略 ? 

(4) 网 络 安全 与 单机 系统 的 安全 有 何 区 别 ? 

(5) 网 络 安全 的 安全 级 别 是 如 何 分 类 的 ? 

(6) 对 网 络 进行 安全 管理 需要 哪些 措施 ? 

(7) 网 络 安全 有 哪些 新 的 趋势 ? 

(8) 针对 网 络 安全 新 的 动态 ,如 何 构建 防御 体系 ? 


网 络 安全 体系 


处 于 不 同 的 角度 ,对 网 络 安全 有 着 不 同 的 认识 。 许 多 人 喜欢 从 一 个 具体 的 实物 ,如 
防火 墙 , 入 侵 检测 、VPN 等 来 看 待 网 络 安全 ,这 是 很 不 全 面 的 。 尽 管 这 些 产 品 与 技术 在 
网 络 安全 中 扮演 了 重要 角色 ,但 是 网 络 安全 更 为 复杂 , 它 不 是 一 个 产品 的 迭 加 。 网 络 安 
全 是 一 个 系统 ,所 有 的 网 络 安全 起 始 于 安全 策略 , 它 将 范围 扩展 到 负责 遵循 该 策略 以 及 
必须 加 强 它 的 人 们 。 如 果 不 从 体系 结构 角度 来 考虑 网 络 系统 的 安全 性 ,忽略 建立 安全 标 
准 体系 ,往往 会 造成 网 络 整体 功能 不 完备 ,存在 薄弱 环节 、 部 件 功 能 重复 ,效率 低下 、 评 估 
困难 、 不 适应 需求 和 技术 变化 .相互 操作 困难 等 问题 。 因 此 ,建立 网 络 安全 体系 的 目的 是 
从 管理 和 技术 上 保证 安全 策略 得 以 完整 准确 的 实现 ,安全 需求 得 以 全 面 准确 地 满足 。 具 
体 则 包括 确定 必需 的 安全 服务 .安全 机 制 和 技术 管理 以 及 它们 在 系统 上 的 合理 部 署 和 相 
关 配 置 。 


21 网 络 安全 体系 层次 


作为 全 方位 的 、 整 体 的 网 络 安全 体系 应 该 是 具有 层次 性 结构 的 ,不 同 层次 反映 了 不 
同 的 安全 问题 ,并 根据 不 同 的 安全 问题 采取 相应 的 安全 措施 。 一 般 情况 下 ,根据 网 络 的 
应 用 情况 及 其 结构 特点 ,可 以 将 网 络 安全 体系 依次 划分 为 物理 层 安 全 、 系 统 层 安全 、 网 络 
层 安 全 、 应 用 层 安 全 和 管理 层 安全 。 


21.1 物理 层 安 全 


物理 层 安全 是 整个 计算 机 网 络 系统 安全 的 前 提 。 它 涉及 多 方面 的 内 容 , 主 要 是 用 来 
保证 各 种 计算 机 网 络 系 统 设备 设施 等 免 草 地震、 水 灾 、 火 灾 等 环境 事故 以 及 人 为 操作 失 
误 或 其 他 错误 而 导致 的 破坏 过 程 ,还 包括 对 网 络 设备 的 环境 、 软 硬件 的 安全 控制 。 一 般 
情况 下 ,可 以 通过 采用 各 种 技术 手段 ,来 保证 设备 的 运行 温度 、 湿 度 、 烟 尘 和 电力 系统 以 
及 通信 线路 的 畅通 。 如 通过 采用 高 可 用 性 的 硬件 和 充足 的 设备 备件 及 采 以 可 拆卸 设备 
来 提高 设备 的 备份 能 力 ,采用 电视 监控 等 技术 与 手段 来 提高 设备 的 防盗 、 防 毁 、 防 电磁 信 
息 辐射 泄露 防止 线路 截获 、 抗 电磁 干扰 等 能 力 。 通 过 这 些 技术 与 方法 的 综合 应 用 来 对 
网 络 系统 所 在 的 物理 层 进行 全 方位 的 安全 保护 。 
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212 系统 层 安全 


系统 层 的 安全 问题 主要 来 自 网 络 内 使 用 的 操作 系统 的 安全 ,主要 表现 在 三 方面 : 一 
是 操作 系统 本 身 的 缺陷 带 来 的 不 安全 因素 ,主要 包括 身份 认证 .访问 控制 .系统 漏洞 等 ; 
二 是 对 操作 系统 的 安全 配置 问题 ,由 于 配置 不 当 而 引起 的 安全 事故 也 是 常见 的 问题 ; 三 
是 各 种 病毒 对 操作 系统 的 威胁 。 对 于 系统 层 的 安全 防范 可 以 选用 安全 性 高 的 操作 系统 ， 
并 对 系统 进行 周密 的 安全 配置 提高 操作 系统 的 安全 性 ,通过 专业 的 安全 工具 (安全 检测 
系统 ) 定 期 对 其 进行 安全 评估 ,及 时 升级 系统 、 修 补 系 统 漏洞 。 由 于 操作 系统 是 其 他 应 用 
软件 的 基础 平台 ,如 果 不 能 采用 有 效 措施 来 保障 系统 层 的 安全 性 , 则 无 论 在 应 用 层 上 采 
取 任 何 措施 ,系统 的 安全 都 无 法 得 到 有 效 保 证 ,对 于 操作 系统 的 安全 在 相关 章节 会 做 详 
细 介 绍 。 


213 网 络 层 安全 


网 络 层 安 全 问题 主要 体现 在 网 络 协议 方面 的 安全 性 ,包括 网 络 层 身 份 认证 、 网 络 资 
源 的 访问 控制 .数据 传输 的 保密 性 与 完整 性 、 路 由 系统 的 安全 、 入 侵 检测 的 手段 以 及 网 络 
设施 防 病毒 等 。 在 这 个 层面 上 ,网 络 通信 的 授权 、 传 输 的 加 密 和 审计 记录 以 及 加 强 登录 
过 程 的 认证 ,确保 用 户 的 合法 性 是 重点 考虑 的 内 容 。 技 术 方 法 上 除了 采用 访问 控制 和 系 
统 漏洞 检测 外 ,还 可 以 采用 访问 存 取 控制 ,对 权限 进行 分 割 和 管理 。 目 前 网 络 广泛 采用 
TCP/IP 协议 ,由 于 协议 自身 存在 的 一 些 问题 ,导致 在 网 络 层 上 的 安全 内 容 最 为 复杂 ,也 
是 本 书 重点 探讨 的 内 容 。 


214 应 用 层 安 全 


应 用 层 安全 问题 主要 由 提供 具体 应 用 服务 所 引发 的 ,主要 是 指 应 用 软件 及 数据 的 安 
全 性 , 既 包 括 在 网 络 上 常用 的 双 WW 服务、 电子 邮件 系统 .DNS 系统 等 ,也 包括 大 量 的 基 
于 网 络 的 其 他 应 用 系统 ,如 数据 库 、 信 息 管 理 系 统 等 。 在 开发 应 用 具体 的 应 用 系统 时 ,如 
果 不 注意 开发 规范 ,或 没有 对 代码 进行 严格 测试 ,应 用 系统 的 安全 是 相当 薄弱 的 。 这 就 
要 求 应 用 系统 的 开发 一 定 要 采用 规范 化 的 开发 过 程 , 尽 可 能 减少 由 于 程序 设计 不 当 而 带 
来 的 安全 漏洞 。 


21.5 管理 层 安全 


管理 层 安全 主要 包括 安全 管理 制度 、 部 门 与 人 员 的 组 织 规则 等 。 构 建 一 个 完备 的 网 
络 安全 系统 并 不 完全 取决 于 技术 手段 ,离开 了 科学 管理 ,安全 便 无 从 谈 起 。 科 学 完善 的 
管理 是 网 络 安全 真正 得 以 实施 的 保证 。 管 理 的 水 平 在 很 大 程度 上 影响 着 整个 网 络 的 安 
全 水 平 。 严 格 的 安全 管理 制度 、 明 确 的 部 门 安全 职责 划分 、 合 理 的 人 员 配 置 都 可 以 在 很 
大 程度 上 降低 其 他 层次 的 安全 漏洞 。 所 以 在 各 项 安全 技术 得 到 保证 的 情况 下 ,必须 建立 
严密 的 计算 机 管理 规章 制度 和 运行 规程 ,并 建立 良好 的 故障 处 理 反 应 机 制 ,来 保障 网 络 
系统 的 安全 正常 运行 。 
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22 CSISO 74982 网 络 安全 体系 结构 


随 着 互联 网 应 用 的 快速 发 展 ,网 络 安全 已 深入 到 诸多 领域 ,人 们 对 于 网 络 安 全 的 认 
识 也 是 一 个 由 浅 入 深 的 过 程 。 当 各 种 安全 威胁 来 临 之 时 ,如 何在 日 益 增 长 并 更 为 复杂 的 
各 种 应 用 中 有 效 地 进行 自我 保护 ,建立 科学 的 网 络 安全 体系 ,对 于 指导 我 们 全 面 科 学 地 
构建 网 络 安全 极为 重要 。 传 统 上 的 方法 与 过 程 是 对 网 络 进行 风险 分 析 , 制 定 相 应 的 安全 
策略 ,采取 一 种 或 多 种 安全 技术 作为 防护 措施 。 这 种 安全 分 析 方 法 在 很 大 程度 上 针对 固 
定 的 威胁 和 环境 弱点 。 对 于 网 络 的 特点 而 言 ,安全 是 一 个 动态 的 ,不断 完 善 的 过 程 。 在 
建立 网 络 安全 模型 的 过 程 中 ,人 们 进行 了 大 量 的 探索 ,网 络 安全 模型 也 经 历 了 由 静态 到 
动态 .由 局 部 到 整体 .由 平面 到 立体 的 发 展 过 程 。 


221 安全 体系 结构 模型 的 发 展 


1. PDR 安全 模型 


最 早 提出 来 的 安全 模型 称 为 PDR 模型 。PDR 是 防护 (protection)、 检 测 
(detection) ,反应 (reaction) 的 缩写 ,其 基本 的 原理 就 是 信息 安全 的 所 有 活动 ,不 管 是 攻击 
行为 .防护 行为 .检测 行为 还 是 响应 行为 等 都 需要 消耗 时 间 。 安 全 离开 时 间 是 没有 意义 
的 ,因此 可 以 用 时 间 来 衡量 一 个 体系 的 安全 性 和 安全 能 力 。 


2. P2DR 安全 模型 


P2DR 安全 模型 是 可 适应 网 络 安全 理论 的 模型 ,在 整体 的 安全 策略 的 控制 和 指导 下 ， 
在 综合 运用 防护 工具 的 同时 ,利用 检测 工具 来 了 解 和 评估 系统 的 安全 状态 。P2DR 模型 
包括 4 个 主要 部 分 ,分 别 是 策略 (policy) ,防护 (protection)、 
检测 (detection) 和 响应 (response)。 它 们 构成 了 一 个 完整 
的 ,动态 的 安全 循环 ,在 安全 策略 的 指导 下 保证 信息 系统 的 
安全 。P2DR 安全 模型 认为 一 个 良好 的 完整 的 动态 安全 体 策略 
系 ,不 仅 需要 利用 操作 系统 访问 控制 防火墙 .加密 等 恰当 的 
防护 ,还 需要 加 入 动态 的 检测 机 制 ,如 入 侵 检 测 ,漏洞 扫描 2 
等 。 在 发 现 问题 时 还 需要 及 时 做 出 响应 。 这 样 的 一 个 体系 
需要 在 统一 的 、 一 致 的 安全 策略 的 指导 下 实施 ,由 此 形成 一 
个 完备 的 闭环 的 动态 自 适应 安全 体系 ,如 图 2-1 所 示 。 


2-1 P2DR 安全 模型 


3. PDRR 安全 模型 


PDRR 模型 是 在 经 典 的 P2DR 模型 基础 上 演变 而 来 的 ,不 过 P2DR 模型 中 对 安全 恢 
复 的 环节 没有 足够 重视 , 它 把 恢复 包含 在 响应 环节 中 ,只 作为 事件 响应 之 后 的 一 项 处 理 
措施 。PDRR 与 P2DR 相似 ,唯一 的 区 别 就 在 于 把 恢复 环节 提 到 了 和 防护 检测 响应 等 环 
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节 同 等 的 高 度 。 在 PDRR 模型 中 ,安全 策略 、 防 护 、 检 测 、 响 应 和 恢复 (restore) 有 机 结合 ， 
共同 构成 了 完整 的 安全 体系 ,如 图 2-2 所 示 。 其 中 恢复 环节 对 
防护 检测 于 信息 系统 和 业务 活动 的 生存 起 着 至 关 重 要 的 作用 ,组 织 只 
有 建立 并 采用 完善 的 恢复 计划 和 机 制 ,其 信息 系统 才能 在 重 
大 灾难 事件 中 尽快 恢复 并 延续 业务 。 

以 上 模型 在 网 络 安全 的 发 展 过 程 中 起 到 了 很 好 的 推动 与 
促进 作用 ,由 于 它们 强调 了 安全 技术 体系 中 部 分 安全 要 求 , 忽 
略 了 人 和 管理 的 因素 ,因此 在 具体 的 实施 过 程 中 ,很 难 成 为 可 

图 2-2 PDRR 安全 模型 ”应 用 的 安全 体系 架构 。 由 于 互联 网 络 的 开放 性 和 通信 协议 的 

安全 缺陷 ,以 及 在 网 络 环境 中 数据 信息 存储 和 对 其 访问 与 处 

理 的 分 布 性 特点 ,网 上 传输 的 数据 信息 很 容易 泄露 和 被 破坏 ,网 络 受到 的 安全 攻击 非常 

严重 ,因此 建立 有 效 的 ,可 操作 的 网 络 安全 防范 体系 就 更 为 迫切 。ISO 组 织 在 上 述 各 模 

型 的 基础 上 ,在 1989 制定 了 国际 标准 ISO 7498-2 一 1989《 信 息 处 理 系统 开放 系统 互 连 基 
本 参考 模型 第 2 部 分 安全 体系 结构 》。 


222 1SO74982 安 全 模型 


ISO 7498-2 是 一 个 普遍 适用 的 安全 体系 结构 ,该 标准 为 开放 系统 互 连 描述 了 基本 参 
考 模型 ,为 协调 开发 现 有 的 与 未 来 的 系统 互 连 标准 建立 起 了 一 个 框架 。 其 任务 是 提供 安 
全 服务 与 有 关机 制 的 一 般 性 描述 ,确定 在 参考 模型 内 部 可 以 提供 这 些 服务 与 机 制 的 位 
置 。 按 照 该 标准 设计 出 的 不 同 的 安全 保障 系统 ,可 以 满足 不 同 网 络 环境 对 安全 保密 的 
需要 。 

ISO 7498-2 中 描述 了 开放 系统 互 连 安全 的 体系 结构 ,提出 安全 的 信息 系统 的 基础 架 
构 中 应 该 包含 五 类 安全 服务 和 能 够 对 这 五 类 安全 服务 提供 支持 的 八 类 安全 机 制 。 五 类 
安全 服务 即 鉴 别 服务 .访问 控制 .数据 完整 性 、 数 据 保密 性 和 抗 抵赖 性 。 八 类 安全 机 制 包 
括 加 密 , 数 字 签名 ,访问 控制 .数据 完整 性 、 鉴 别 交 换 、 业 务 流 填 充 、 路 由 控制 及 公证 机 制 。 
除 此 之 外 ,ISO 7498-2 另 一 个 贡献 是 把 这 些 内 容 映 射 到 了 ISO 的 七 层 模型 中 。 这 个 体系 
结构 是 国际 上 重要 的 安全 技术 架构 ,其 结构 各 个 部 分 的 关系 可 以 通过 如 图 2-3 所 示 的 框 
架 结构 图 表示 ,其 提供 的 内 容 包括 。 

(1) 提供 安全 体系 结构 所 配备 的 安全 服务 和 有 关 安 全 机 制 在 体系 结构 下 的 一 般 
描述 。 

(2) 确定 体系 结构 内 部 可 以 提供 相关 安全 服务 的 位 置 。 

(3) 保证 完全 准确 地 配置 安全 服务 ,并 且 一 直 维 持 于 信息 系统 安全 的 生命 周期 中 , 安 
全 功能 必须 满足 一 定 强 度 的 要 求 。 

框架 结构 中 的 每 一 个 系统 单元 都 对 应 于 某 一 个 协议 层次 ,需要 采取 若干 种 安全 服务 
才能 保证 该 系统 单元 的 安全 。 网 络 层 需 要 有 节点 之 间 的 认证 ,访问 控制 ,应 用 层 需要 有 
针对 用 户 的 认证 ,访问 控制 ,需要 保证 数据 传输 的 完整 性 、 保 密 性 ,需要 有 抗 抵赖 和 审计 
的 功能 ,需要 保证 应 用 系统 的 可 用 性 和 可 靠 性 。 

一 种 安全 服务 可 以 通过 某 种 单独 的 安全 机 制 提供 ,也 可 以 通过 多 种 安全 机 制 联 合 提 
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OSI 参考 和 到 
7 应 用 层 
6 一 | 表示 层 
5 一 | 会 话 层 
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3 一 J 网 络 层 
2 一 | 数据 链 路 层 
1 一 | 物理 必 安全 机 制 
鉴别 服务 [TTTT 
加 数 访 数 鉴 业 路 公 
访问 控制 客 守 册 所 允 务 自 正 
必 | 记过 元 y I 
数据 完整 性 名 制 整 孩 填 制 
数据 保密 性 柱 ”“ 充 
Dre 
安全 服务 


2-3 ISO 7498-2 安全 架构 模型 


供 。 一 种 安全 机 制 可 以 用 于 提供 一 种 或 多 种 安全 服务 。 在 OSI 中 除了 第 5 层 以 外 ,每 一 
层 均 能 提供 相应 的 安全 服务 。 实 际 上 ,最 适合 配置 安全 服务 的 是 在 物理 层 、 网 络 层 、 传 输 
层 以 及 应 用 层 上 ,其 他 层 都 不 适宜 配置 安全 服务 。 
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由 于 OSI 网 络 模型 具有 开放 性 和 网 络 协议 (如 TCP/IP) 本 身 固 有 的 安全 漏洞 ,以 及 
其 他 应 用 系统 在 实施 中 产生 的 漏洞 ,都 会 造成 许多 安全 问题 并 给 网 络 系统 带 来 危害 。 
ISO 7498-2 安全 架构 针对 网 络 系统 存在 的 潜在 威胁 提出 了 五 类 安全 服务 。 


1. 鉴别 服务 (authentication) 


网 络 上 任何 两 个 开放 的 系统 主机 在 同等 分 层 上 建立 连接 或 数据 传输 过 程 中 对 对 方 
实体 的 合法 性 进行 判断 以 防 假冒 。 主 要 分 为 两 部 分 ,一 部 分 是 对 等 实体 鉴别 服务 ,用 于 
两 个 开放 系统 同等 层 中 的 实体 建立 连接 或 数据 传输 阶段 ,对 对 方 实体 的 合法 性 、 真 实 性 
进行 确认 ,以 防 假冒 ,这 里 的 实体 可 以 是 用 户 或 进程 。 另 一 部 分 是 数据 源 认证 服务 ,用 于 
确保 数据 发 自 真正 的 源 点 ,防止 假冒 。 


2. 访问 控制 (access control) 


访问 控制 可 防止 非 授 权 用 户 非法 使 用 网 络 资 源 , 以 保护 网 络 上 特定 的 数据 资源 等 。 
它 既 包括 对 于 用 户 的 身份 认证 ,又 包括 对 于 用 户 的 权限 确认 。 这 种 保护 服务 不 但 提供 给 
个 人 用 户 , 也 可 以 提供 给 用 户 组 。 


3. 数据 完整 性 (data integrity) 


可 防止 非法 用 户 对 网 络 上 进行 交换 的 数据 信息 进行 更 改 、 插 入 、 删 除 ,以 及 防止 在 数 
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据 交换 过 程 中 的 数据 丢失 等 。 主 要 分 为 带 恢复 功能 的 面向 连接 方式 的 数据 完整 性 ;不 带 
恢复 功能 的 面向 连接 方式 的 数据 完整 性 ;选择 字段 面向 连接 方式 的 数据 完整 性 ;选择 字 
段 无 连接 方式 的 数据 完整 性 ;无 连接 方式 数据 完整 性 。 通 过 以 上 这 些 服务 来 满足 不 同 用 
户 、 不 同 场合 对 数据 完整 性 服务 的 不 同 要 求 。 


4. 数据 保密 性 (data confidentiality) 


主要 是 指 保护 网 上 传输 的 信息 及 主机 之 间 交 换 的 数据 ,防止 数据 信息 的 泄露 和 破 
坏 ,其 中 包括 多 种 保密 服务 。 为 了 防止 网 络 中 各 个 系统 之 间 交 换 的 数据 被 截获 或 被 非法 
存 取 而 造成 泄密 , 需 提供 加 密 保护 。 基 于 OSI 模型 中 规定 数据 传送 可 采用 面向 连接 的 方 
式 和 无 连接 的 方式 。 数 据 保密 还 提供 用 户 可 选 字段 的 数据 保护 和 信息 流 安全 , 即 对 有 可 
能 从 检测 数据 流 就 能 推导 出 的 数据 信息 提供 保护 。 保 证 信息 流 安全 的 目的 是 确保 信息 
在 从 源 点 到 目的 地 的 整个 流通 过 程 的 安全 。 一 般 可 通过 路 由 选择 使 信息 流出 经 由 安全 
路 径 ,并 通过 信息 流量 填充 来 阻止 攻击 者 的 信息 流量 和 流向 分 析 攻 击 。 


5. 抗 抵赖 性 (non-repution) 


这 是 对 数据 信息 收发 双方 的 行为 确认 ,以 防止 否认 的 机 制 。 其 主要 是 保护 网 络 通信 
不 会 遭 到 内 部 其 他 合法 用 户 的 威胁 。 它 由 两 部 分 组 成 ,一 是 不 得 否认 发 送行 为 ;二 是 不 
得 否认 接收 行为 。 抗 抵赖 性 在 本 质 上 是 一 种 数字 签名 服务 , 它 能 够 提供 确定 的 证 据 来 证 
明 通信 双方 做 过 某 种 操作 。 
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为 了 保证 上 述 安 全 服务 的 实现 ,ISO 提出 了 以 下 八 种 基本 的 安全 机 制 ,通常 可 以 将 
一 个 或 多 个 安全 机 制 配置 在 适当 的 层次 上 以 实现 这 些 安 全 服务 。 


1. 加 密 机 制 (encipherment mechanisms) 


数据 保护 最 主要 和 最 基本 的 手段 就 是 通过 数据 加 密 的 方法 来 实现 ,也 就 是 通过 加 密 
算法 来 防止 数据 信息 在 传输 过 程 中 被 臭 改 、 删 除 和 蔡 换 。 用 加 密 的 技术 结合 其 他 方法 ， 
可 以 提供 数据 的 保密 性 和 完整 性 。 加 密 算法 按 密 钥 类 型 来 划分 ,可 分 为 对 称 加 密 和 非 对 
称 加 密 两 种 ; 按 密 码 体制 可 分 为 序列 密码 ( 流 密码 ) 和 分 组 密码 算法 两 种 。 除 了 会 话 层 不 
提供 加 密 保护 外 ,加 密 可 在 其 他 各 层 上 进行 ,与 加 密 机 制 相伴 的 是 密 钥 管 理 机 制 。 


2. 数字 签名 机 制 (digital signature mechanisms) 


数字 签名 机 制 是 确保 数据 真实 性 的 基本 方法 。 它 采用 某 种 算法 ,通过 对 网 络 传输 的 
信息 实现 签名 ,其 目的 是 防止 通信 双方 的 任何 一 方 对 自己 的 行为 进行 否认 ,以 及 防止 有 
人 冒充 通信 的 一 方 用 户 对 收 到 的 信息 加 以 自 改 或 伪造 对 方 发送 的 信息 等 。 数 字 签 名 技 
术 具 有 解决 收发 双方 纠纷 的 能 力 ,特别 是 针对 通信 双方 发 生 争 执 时 ,可 能 产生 的 如 否认 、 
伪造 .冒充 和 自 改 信息 等 安全 问题 。 
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3. 访问 控制 机 制 (access control mechanisms) 


访问 控制 机 制 主要 用 来 控制 不 同 用 户 的 访问 权限 ,主要 包括 用 户 对 网 络 系统 .主机 、 
数据 库 系 统 以 及 文件 系统 等 的 访问 权限 。 访 问 控制 机 制 本 质 上 是 一 种 对 资源 访问 的 策 
略 , 它 把 对 资源 的 访问 只 限于 那些 被 授权 的 用 户 。 所 谓 授权 就 是 指 资源 的 所 有 者 或 控制 
者 是 否 允 许 其 他 特定 的 人 访问 这 些 资源 。 访 问 控制 还 可 以 直接 支持 数据 机 密 性 、 完 整 
性 、 可 用 性 以 及 合法 使 用 的 安全 要 求 , 它 对 数据 机 密 性 、 数 据 完整 性 和 合法 使 用 所 起 的 作 
用 是 十 分 明显 的 。 访 问 控 制 机 制 可 以 建立 在 以 下 一 种 或 多 种 手段 上 。 

(1) 访问 控制 信息 库 : 这 里 保存 有 对 等 实体 的 访问 权限 ,可 以 由 授权 中 心 保存 或 者 
由 正 被 访问 的 那个 实体 保存 。 

(2) 鉴别 信息 : 通过 对 密码 这 类 信息 的 占有 和 出 示 来 证 明正 在 进行 访问 的 实体 已 被 
授权 。 

(3) 权力 : 通过 对 其 的 占有 和 出 示 来 证 明了 有 权 访 问 由 该 权力 所 规定 的 实体 或 资 
源 。 权 力 应 是 不 可 伪造 的 并 以 可 信赖 的 方式 进行 传送 。 

(4) 安全 标记 : 当 与 一 个 实体 相关 联 时 ,这 种 安全 标记 可 用 来 表示 同意 或 拒绝 访问 ， 
通常 根据 安全 策略 而 定 。 

(5) 访问 时 间 及 路 由 : 由 安全 策略 制定 对 资源 的 访问 时 间 、 持 续 访 问 时 间 以 及 通过 
哪 条 路 由 进行 访问 。 


4. 数据 完整 性 机 制 (data integrity mechanisms) 


因为 实体 间 信 息 交换 是 以 一 种 数据 单元 ( 包 ) 的 形式 进行 传输 的 ,所 以 既 要 对 单元 数 
据 加 密 , 又 要 保证 数据 单元 的 时 序 性 ,以 防止 算 改 .假冒 .丢失 、 重 发 或 插入 等 。 数 据 完 整 
性 包括 两 种 形式 ,一 种 是 数据 单元 的 完整 性 ; 另 一 种 是 数据 单元 序列 的 完整 性 。 而 数据 
单元 完整 性 包括 两 个 过 程 ,一 个 过 程 发 生 在 发 送 实 体 ; 另 一 个 过 程 发 生 在 接收 实体 。 保 
证 数据 完整 性 的 一 般 方 法 是 发 送 实体 时 在 一 个 数据 单元 上 加 一 个 标记 ,这 个 标记 是 数据 
本 身 的 函数 ,如 一 个 分 组 校 验 或 密码 校 验 函数 , 它 本 身 是 经 过 加 密 的 。 接 收 实体 有 一 个 
对 应 的 标记 ,并 将 所 产生 的 标记 与 接收 的 标记 相 比 较 , 以 确定 在 传输 过 程 中 数据 是 否 被 
修改 过 ,典型 的 算法 有 MD5 和 SHA。 


5. 鉴别 交换 机 制 (authentication mechanisms) 


鉴别 交换 机 制 是 通过 互 换 信息 的 方式 来 确认 实体 身份 的 机 制 。 在 网 络 环境 下 ,这 种 
认证 形式 主要 有 站 点 认证 、 报 文 认证 ,用户 和 进程 的 认证 等 。 用 于 认证 的 方法 主要 有 。 

(1) 密码 : 由 发 送 方 实体 提供 ,接收 方 实体 检测 。 

(2) 密码 技术 : 将 交换 的 数据 加 密 , 只 有 合法 用 户 才 能 解密 ,得 出 有 意义 的 明文 。 在 
许多 情况 下 ,这 种 技术 与 时 间 标 记 和 同步 时 钟 技术 、 双 方 或 三 方 “握手 ”技术 、 数 字 签名 和 
公证 机 构 技 术 一 起 使 用 。 

(3) 实体 的 特征 或 所 有 权 : 常 采 用 的 技术 是 指纹 识别 和 身份 卡 等 。 
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6. 业务 流 填充 机 制 (traffic padding mechanisms) 


业务 流 填 充 机 制 是 提供 业务 流 机 密 的 一 个 基本 机 制 。 它 在 信息 传输 的 间隙 连续 不 
断 发 出 伪 随 机 序列 ,使 网 上 窃听 者 无 法 判断 信息 的 可 用 性 ,并 防止 其 分 析 信 息 的 流量 和 
流向 。 它 包含 生成 伪造 的 通信 和 实例、 伪造 的 数据 单元 、 伪 造 的 数据 单元 中 的 数据 。 伪 造 
通信 业务 和 将 协议 数据 单元 填充 到 一 个 固定 长 度 ,能 够 为 防止 通信 业务 分 析 提 供 有 限 的 
保护 。 为 了 使 这 种 保护 得 以 成 功 ,伪造 通信 业务 级 别 还 必须 接近 实际 通信 业务 的 最 高 预 
期 等 级 。 另 外 ,协议 数据 单元 的 内 容 必须 进行 加 密 或 隐藏 起 来 ,使 虚假 业务 不 会 被 识别 ， 
从 而 实现 与 真实 业务 区 分 开 来 。 


7. 路 由 控制 机 制 (routing control mechanisms) 


在 大 型 复杂 的 网 络 中 通信 的 两 个 节点 间 可 有 多 条 线路 ,但 不 是 所 有 线路 都 安全 可 
靠 。 在 这 种 情况 下 ,路 由 控制 机 制 使 得 路 由 能 被 动态 的 或 预期 地 选取 ,以 便 使 用 物理 上 
安全 的 子 网 络 .中 继 或 链 路 来 进行 通信 ,保证 敏感 数据 只 在 具有 适当 保护 级 别 的 路 由 上 
传输 。 另 外 ,如 果 在 检测 到 持续 的 攻击 时 ,网 络 服务 提供 者 可 为 端 系统 经 不 同 的 路 由 建 
立 传输 。 带 有 某 些 安全 标记 的 数据 可 以 依据 安全 策略 禁止 或 允许 通过 某 些 子 网 .中 继 或 
链 路 。 连 接 的 发 起 者 可 以 指定 路 由 选择 说 明 , 由 它 请 求 回避 某 些 特定 的 子 网 、 链 路 或 中 
继 。 路 由 控制 机 制 的 目的 是 通过 一 个 公正 的 仲裁 机 构 ,来 保证 信息 传输 的 路 由 是 安全 可 
靠 的 。 


8. 公证 机 制 (notarization mechanisms) 


有 关 在 两 个 或 多 个 实体 间 通 信 的 数据 的 性 质 ,如 它 的 完整 性 .数据 源 、 时 间 和 目的 
等 ,能 够 借助 公证 机 制 得 到 确保 。 这 种 保证 是 由 第 三 方 所 提供 的 ,公正 机 构 为 通信 实体 
所 信任 ,并 掌握 必要 信息 , 它 以 一 种 可 证 实 方式 提供 所 需 保 证 。 每 个 通信 实体 可 使 用 数 
字 签 名 .加密 和 完整 性 机 制 以 适应 公证 方 提供 的 服务 。 当 这 种 公证 机 制 被 用 到 时 ,数据 
便 在 参与 通信 实体 间 由 受 保护 的 通信 实例 和 公证 进行 通信 。 公 证 机 制 目的 是 通过 一 个 
公正 仲裁 机 构 解 决 有 关 信 息 的 责任 问题 ,因此 网 络 上 通信 的 各 方 都 必须 由 该 机 构 进行 数 
据 交 换 。 

以 上 所 讨论 的 安全 服务 和 安全 机 制 并 不 是 一 一 对 应 的 ,一 种 安全 服务 可 以 采取 一 种 
或 多 种 安全 机 制 来 实现 。 在 OSI 网 络 模型 中 ,一 种 安全 服务 是 由 某 一 特定 层 有 选择 的 提 
供 , 也 就 是 说 安全 服务 是 有 相应 的 安全 机 制 来 支持 的 , 表 2-1 给 出 了 与 通信 协议 相关 的 安 
全 服务 (Y 表示 提供 ,N 表示 不 提供 ) 。 

在 这 种 基于 TCP/IP 协议 层 的 网 络 安全 体系 结构 的 指导 下 ,近年 来 国内 外 许多 网 络 安 
全 研究 机 构 和 生产 厂商 针对 TCP/IP 协议 集 各 层次 上 的 安全 隐患 不 断 推出 新 的 安全 协议 、 
安全 服务 和 产品 。 考 查 这 些 网 络 应 用 产品 ,它们 在 安全 的 措施 与 实现 上 ,大 都 可 以 在 这 张 
表 上 找到 相应 的 映射 。 实 际 上 ,保障 网 络 安全 不 但 需要 参考 网 络 安全 的 各 项 标准 以 形成 合 
理 的 评估 准则 ,更 重要 的 是 必须 明确 网 络 安全 的 框架 体系 、 安 全 防范 的 层次 结构 和 系统 设 
计 的 基本 原则 ,分 析 网 络 系统 的 各 个 不 安全 环节 ,找到 安全 漏洞 ,做 到 有 的 放 矢 。 
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表 2-1 安全 服务 与 OSI 七 层 协议 的 对 应 关系 ( 深 色 部 分 为 安全 作用 区 域 ) 


安全 服务 物理 层 数据 链 路 层 网 络 层 传输 层 会 话 层 表示 层 应 用 层 
鉴别 服务 N N N 这 
访问 控制 N N Ye A N a he 
数据 加 密 这 TY 这 we N 3 
数据 完整 性 N N 加 3 N N Y 
抗 抵赖 性 N N N N N 到 


23 TCRPIP 的 网 络 安全 体系 结构 


互联 网 通信 是 基于 TCP/IP 协议 得 的 。 在 Internet 中 ,TCP/IP 是 互联 网 通信 的 事 
实 标准 。TCP/IP 协议 是 一 组 包括 IP 协议 .TCP 协议 .UDP 协议 ICMP 协议 和 其 他 一 
些 协议 的 协议 组 。TCP/IP 协议 簇 并 不 完全 符合 OSI 的 七 层 参 考 模型 ,但 与 OSI 模型 间 
存在 着 特定 的 映射 关系 ,如 图 2-4 所 示 。 


OSI TCP/IP 
应 用 层 
表示 层 应 用 层 HTTP [TELNET FTP | SMTP | DNS | DHCP | Others 
传输 层 传输 层 TCP UDP 
ICMP IGMP 
网 络 层 网 络 层 IP 
ARP RARP 
数据 链 路 层 
网 络 接口 层 Ethernet .FDDI Token Ring Others 
物理 层 


结构 如 下 所 示 。 


图 2-4 TCP/IP 协议 与 OSI 模型 的 对 应 关系 


传统 的 OSI 参考 模型 是 一 种 通信 协议 的 七 层 抽象 的 参考 模型 ,每 一 层 执行 某 一 特定 
任务 。 该 模型 的 目的 是 使 各 种 硬件 在 相同 的 层次 上 相互 通信 。 这 七 层 分 别 是 物理 层 、 数 
据 链 路 层 、 网 络 层 ,传输 层 会 话 层 、 表 示 层 和 应 用 层 。 而 TCP/IP 通信 协议 采用 了 4 层 的 
层次 结构 ,每 一 层 都 通过 它 的 下 一 层 所 提供 的 网 络 来 完成 自己 的 需求 。TCP/IP 的 四 层 


(1) 应 用 层 : 是 TCP/IP 参考 模型 的 最 上 层 , 它 是 应 用 程序 间 沟 通 的 层 ,为 用 户 访问 
网 络 提供 一 组 应 用 协议 ,如 简单 邮件 传送 协议 (SMTP) ,文件 传送 协议 (FTP)、 网 络 远程 
访问 协议 (Telnet) 等 。 
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(2) 传输 层 : 传输 层 提供 了 节点 间 的 数据 传送 服务 ,这 一 层 负 责 传送 数据 ,并 且 确 定数 
据 已 被 送 达 并 接收 。 传 输 层 最 常用 的 有 两 种 协议 ,一 是 传输 控制 协议 (TCP) ; 另 一 个 是 用 户 
数据 报 协议 (UDP) 。TCP 和 UDP 给 数据 包 加 入 传输 数据 并 把 它 传 输 到 下 一 层 中 。 

(3) 网 络 层 : 这 一 层 主要 解决 主机 与 主机 间 的 通信 ,在 收 到 报 文 发 送 请 求 后 ,形成 数 
据 包 ,通过 网 络 接口 层 将 其 发 出 ,并 对 收 到 的 数据 包 进行 处 理 , 形 成 相应 的 报 文 交 给 传输 
层 , 同 时 解决 路 由 问题 ,进行 差错 控制 和 拥塞 控制 等 。 网 络 层 最 重要 的 协议 是 IP 协议 ， 
其 他 协议 是 提供 IP 协议 的 辅助 功能 。 

(4) 网 络 接口 层 : 对 实际 的 网 络 媒体 的 管理 ,定义 如 何 使 用 实际 网 络 ( 如 Ethernet、 
FDDI Serial Line 等 ) 来 传送 数据 。 

网 络 攻击 总 是 利用 系统 中 存在 的 弱点 和 缺陷 ,由 于 TCP/IP 刚 出 现时 ,协议 的 设计 
者 对 网 络 安全 方面 考虑 较 少 , 随 着 Internet 的 快速 发 展 , 它 的 各 种 安全 方面 的 脆弱 性 逐 
步 体 现 出 来 。 因 此 ,要 理解 Internet 的 安全 ,首先 需要 对 TCP/IP 中 的 协议 有 一 个 了 解 ， 
只 有 这 样 才 能 更 好 地 理解 TCP/IP 网 络 的 安全 问题 。 所 以 下 面 介绍 TCP/IP 常用 的 协议 
组 以 及 每 种 协议 存在 的 缺点 。 


23.1 TCPIP 协 议 分 析 


1. IP 协议 


Internet 协议 (Internet protocol,IP) 是 基于 包 的 协议 ,对 应 于 OSI 的 网 络 层 ,用 于 在 
网 络 上 交换 数据 。 它 是 一 个 无 连接 协议 ,负责 处 理 地 址 分 配 、 分 段 . 重 装配 和 协议 多 路 分 
解 , 是 网 络 层 中 最 重要 的 协议 ,是 其 他 IP 协议 的 基础 。 作 为 网 络 层 协议 ,IP 负责 地 址 的 
分 配 并 负责 控制 信息 以 允许 数据 包 在 网 络 中 的 路 由 。 图 2-5 是 IP 报头 的 格式 (具体 参考 
RFC791-IP 协议 ) 。 


0 4 8 16 31 
版 本 IHL 服务 类 型 总 长 
标识 标记 分 段 偏 移 量 
TTL 存活 时 间 协议 报头 校 验 和 

源 IP 地 址 

目标 IP 地 址 

可 选项 十 IP 分 组 数据 填充 位 
数据 


图 2-5 IP 数据 报头 格式 
IP 层 接收 其 低层 (网 络 接口 层 。 例 如 ,以 太 网 设备 驱动 程序 ) 发 来 的 数据 包 , 并 把 该 


数据 包 发 送 到 更 高 层 的 TCP 或 UDP 层 。 同 样 ,IP 层 也 把 从 TCP 或 UDP 层 接 收 来 的 数 
据 包 传送 到 更 低层 。IP 协议 是 一 个 无 连接 的 协议 ,主要 的 工作 就 是 在 主机 间 寻 址 并 为 数 
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据 包 设 定 路 由 。 在 交换 数据 前 它 并 不 建立 会 话 , 因 为 它 不 保证 数据 的 正确 传递 。 另 一 方 
面 , 数 据 在 被 收 到 时 ,IP 不 需要 收 到 确认 ,所 以 它 是 不 可 靠 的 。IP 数据 包 中 含有 发 送 它 
的 主机 的 地 址 ( 源 地 址 ) 和 接收 它 的 主机 的 地 址 (目的 地 址 )。TCP 和 UDP 服务 在 接收 数 
据 包 时 ,通常 假设 包 中 的 源 地 址 是 有 效 的 。 也 可 以 这 样 说 ,IP 地 址 形成 了 许多 服务 的 认 
证 基础 ,这 些 服务 相信 数据 包 是 从 一 个 有 效 的 主机 发 送 来 的 。IP 确认 包含 一 个 选项 , 称 
为 IP source routing, 可 以 用 来 指定 一 条 源 地 址 和 目的 地 址 之 间 的 直接 路 径 。 对 于 一 些 
TCP 和 UDP 的 服务 来 说 .使 用 了 该 选项 的 IP 包 就 像 是 从 路 径 上 的 最 后 一 个 系统 传递 过 
来 的 ,而 不 是 来 自 于 它 的 真实 地 点 。 这 个 选项 是 为 了 测试 而 存在 的 ,说 明 它 可 以 被 用 来 
欺骗 系统 来 进行 平常 是 被 禁止 的 连接 。 所 以 许多 依靠 源 地 址 IP 做 确认 的 服务 会 有 安全 
问题 ,如 不 采取 一 些 相关 的 安全 措施 ,将 会 产生 安全 问题 并 且 容 易 被 非法 入 侵 。 

IP 报头 包含 如 下 主要 字段 。 

(1) 源 IP 地址 : 用 IP 地 址 确定 数据 包 发 送 者 。 

(2) 目标 IP 地 址 : 用 IP 地址 确定 数据 包 目 标 。 

(3) 协议 : 表示 上 层 所 使 用 的 协议 类 型 ,如 TCP 协议 或 UDP 协议。 

(4) 校 验 和 : IP 数据 每 经 过 一 个 中 间 节 点 都 要 重新 计算 校 验 和 ,用 来 证 实 收 到 数据 
包 的 完整 性 。 

(5) TTL 生存 有 效 时 间 : 指定 一 个 数据 报 被 丢弃 之 前 ,在 网 络 上 能 停留 多 少时 间 
(以 秒 计 ) ,避免 了 包 在 网 络 中 无 休止 循环 。 

(6) 可 选项 : 用 作对 原来 设计 的 补充 或 新 版 本 的 测试 及 安全 措施 等 ,长 度 最 多 为 40 字 节 。 


2. TCP 协议 


传输 控制 协议 (transmission control protocol, TCP) 是 在 IP 层 的 基础 上 构成 的 , 它 
对 应 于 OSI 的 传输 层 。 它 为 应 用 层 提 供 可 靠 的 面向 连接 的 传送 服务 ,规定 了 数据 的 格式 
及 数据 传输 的 应 答 方式 。TCP 还 规定 了 计算 机 验证 数据 是 否 可 靠 到 达 的 过 程 。TCP 能 
够 将 应 用 程序 之 间 的 通信 量 进行 多 路 分 解 ,所 以 其 允许 系统 中 有 多 个 应 用 程序 同时 通 
信 。 图 2-6 是 TCP 报头 的 格式 , 它 以 数据 部 分 打头 并 紧 跟 在 IP 报头 之 后 。 
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2-6 ”TCP 报头 格式 
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TCP 用 端口 号 或 套 接 字 (socket) 号 来 向 上 层 传递 信息 ,这 种 机 制 能 确保 协议 在 端 站 
点 的 不 同 进程 间 进行 多 路 通信 。 端 口号 可 以 跟踪 网 络 中 同时 进行 的 不 同 会 话 , 由 操作 系 
统 分 配 。 表 2-2 是 一 些 常 用 的 应 用 服务 端口 号 。 
表 2-2 常见 端口 号 


应 用 层 端口 号 应 用 层 端口 号 

FTP 21,22 WTIP 80 

Telnet 23 SSH 22 

SMTP 25 HTTPS 443 
TCP 报头 包含 如 下 主要 字段 。 


(1) 源 TCP 端口 号 : 用 于 标识 报 文 的 返回 地 址 。 

(2) 目标 TCP 端口 号 : 用 于 指明 目标 的 应 用 程序 地 址 接口 。 

(3) URG: 表示 是 否 使 用 紧急 指针 。 

(4) ACK: 表示 请 求 应 答 状 态 。 

(5) PSH: 表示 本 段 请 求人 栈 。 

(6) RST: 表示 连接 复位 。 

(7) SYN: 为 同步 序号 ,用 来 建立 连 线 。 

(8) FIN: 表示 发 送 方 已 经 发 送 了 最 后 的 字 节 流 。 

(9) 校 验 和 : 对 数据 头 及 封装 的 包 内 容 进行 校 验 。 

(10) 紧急 指针 : 发 送 紧急 数据 的 一 种 方式 。 

TCP 是 一 种 可 靠 的 面向 连接 的 传送 服务 。 它 在 传送 数据 时 是 分 段 进行 的 ,主机 要 交 
换 数据 必须 建立 一 个 会 话 。 它 用 比特 流通 信 , 即 数据 被 作为 无 结构 的 字 节 流 。 通 过 为 每 
个 TCP 传输 的 字段 指定 顺序 号 ,以 获得 可 靠 性 。 如 果 一 个 分 段 被 分 解 成 几 个 小 段 ,接收 
主机 会 知道 是 否 所 有 小 段 都 已 收 到 。 通 过 发 送 应 答 来 确认 别 的 主机 收 到 了 数据 。 对 于 
发 送 的 每 一 个 小 段 , 接 收 主机 必须 在 一 个 指定 的 时 间 返 回 一 个 确认 。 如 果 发 送 者 未 收 到 
确认 ,数据 会 被 重新 发 送 。 如 果 收 到 的 数据 包 损坏 ,接收 主机 会 舍弃 它 , 因 为 确认 未 被 发 
送 ,发 送 者 会 重新 发 送 分 段 。TCP 的 建立 与 释放 的 步骤 如 下 。 

(1) 初始 化 主机 通过 一 个 同步 标志 置 位 的 数据 段 发 出 会 话 请 求 。 这 个 请 求 包 中 的 
SYN 位 被 置 1 ,客户 机 告诉 服务 器 序号 字段 是 有 效 的 ,要 进行 检查 。 此 外 ,客户 机 还 把 
TCP 报头 中 的 序号 字段 设 为 初始 序号 。 

(2) 服务 器 向 客户 机 发 送 一 个 包 响 应 客户 机 的 请 求 , 包 中 的 SYN 位 也 被 置 1, 同 时 
服务 器 初始 的 序号 等 于 客户 机 初始 序号 加 1 。 

(3) 客户 机 通过 将 服务 器 初始 序号 加 1 发 送出 去 ,表示 应 答 服务 器 的 初始 序号 。 

(4) 建立 连接 ,可 以 传输 数据 。 

(5) 释放 连接 ,TCP 连接 是 一 个 全 双 工 的 连接 ,其 接收 与 释放 也 需 由 通信 双方 共同 
完成 。 当 通信 的 一 方 没有 数据 发 送 时 ,可 以 将 FIN 报 文 段 发 向 对 方 ,请 求 释放 连接 ,只 有 
对 方 也 发 送 了 释放 连接 请 求 后 ,TCP 连接 才 会 完全 释放 。 
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TCP 三 向 沟通 的 流程 如 图 2-7 所 示 。 


TCP 端口 为 信息 的 传送 提供 指定 地 点 ,小 于 “四 汪汪 
256 的 端口 号 被 定义 为 常用 端口 。TCP 滑动 窗口 用 广 旺 | SA E 
来 斩 存 两 台 主机 间 要 传送 的 数据 ,有 点 类 似 和 | ss 和。 | 二? 
CACHE。 每 个 TCP/IP 主机 有 两 个 滑动 窗口 ,一 个 
用 于 接收 数据 , 另 一 个 用 于 发 送 数据 。 窗 口 大 小 是 SY 
16 位 的 ,接收 到 的 TCP 最 多 为 65535 字 节 。 aa 

3. UDP 协议 - 

Time Time 
用 户 数 据 报 协议 (user datagram protocol， 一 一 数据 传输 


UDP) 与 TCP 处 于 同一 层 ,属于 传输 层 协议 , 它 为 计 国人 二 向 沟 酒令 入 

算 机 之 间 的 消息 传递 提供 不 可 靠 、 无 连接 的 传输 服 

务 。UDP 不 提供 错误 更 正和 重 发 ,也 不 能 防止 包 的 丢失 和 重复 。 因 此 , 它 不 被 应 用 于 那 
些 使 用 虚 电路 面向 连接 的 服务 ,而 主要 用 于 那些 面向 查询 /应 答 的 服务 ,相对 于 FTP 或 
Telnet, 这 些 服 务 需 要 交换 的 信息 量 较 小 。 使 用 UDP 的 服务 包括 NTP( 网 络 时 间 协 议 ) 
和 DNSCDNS 也 使 用 TCP) 等 。 图 2-8 给 出 了 UDP 报头 的 格式 。 


0 16 31 
源 UDP 端口 日 标 UDP 端口 
报 文 长 度 校 验 和 
数据 


图 2-8 UDP 报头 格式 


UDP 包括 的 字段 主要 有 。 

(1) 源 UDP 端口 : 定义 了 初始 化 通信 的 端口 号 。 

(2) 目标 UDP 端口 : 定义 了 传输 的 目的 端口 号 。 

(3) 报 文 长 度 : 表示 UDP 报 文 的 总 长 度 ,包括 报头 和 数据 部 分 的 长 度 。 

(4) 校 验 和 : 对 头 数据 及 包 的 内 容 进 行 校 验 。 

欺骗 UDP 包 比 欺骗 TCP 包 更 容易 .因为 UDP 没有 建立 初始 化 连接 。 也 就 是 说 ,与 
UDP 相关 的 服务 面临 着 更 大 的 危险 。 所 以 ,在 局 域 网 的 入 口 与 出 口 点 设置 包 过 滤 指 定 多 
许 和 拒绝 基于 UDP 的 应 用 是 明智 的 做 法 。 


4. ICMP 协议 


因特网 控制 报 文 协议 (Internet control message protocol,ICMP) 与 IP 位 于 同一 层 ， 
它 被 用 来 报告 错误 并 传送 IP 的 控制 信息 。 它 主要 是 用 来 提供 有 关 通 向 目的 地 址 的 路 径 
信息 。ICMP 的 “Redirect” 信 息 通 知 主机 通 向 其 他 系统 更 准确 的 路 径 , 而 “Unreachable” 
信息 则 指出 路 径 有 问题 。ICMP 常用 于 一 些 流 行 的 网 络 诊断 工具 ,如 ping 和 traceroute。 
一 个 ICMP 包 的 封装 例子 如 图 2-9 所 示 。 
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IP 报头 (20 字 节 ) ICMP 报 文 
IP 数 据 包 


图 2-9 ICMP 包 封装 结构 


ICMP 报 文 是 与 IP 包 封 装 在 一 起 的 ,根据 RFC-791 的 说 明 ,IP 包 总 共 可 长 达 65535 
(2 一 1) 八 位 组 ,其 中 包括 报头 长 度 (通常 是 20 个 八 位 组 ,如 果 不 指定 IP 选项 的 话 ) 。 发 
送 方 把 比 MTU( 最 大 传输 单元 ) 还 长 的 包 分 割 成 较 小 的 包 , 然 后 接收 方 再 把 这 些 分 割 后 
的 包 重 新 装配 。 由 于 其 协议 具有 重组 的 特征 ,也 常常 被 用 于 Ping of Death、SMURF 
攻击 。 


232 TOPIP 常见 应 用 层 协 议 分 析 与 应 用 


1. SMTP/ESMTP 协议 与 应 用 


Internet 上 所 有 电子 邮件 都 是 基于 简单 邮件 传输 协议 (simple mail transfer 
protocol, SMTP) 的 。SMTP 是 请 求 /响应 协议 ,命令 和 响应 都 基于 ASCII 文本 ,并 以 CR 
和 LF 符 结束 。 响 应 包括 一 个 表示 返回 状态 的 三 位 数字 代码 。SMTP 在 TCP 协议 25 端 
口 监听 连接 请 求 。ESMTP(Extended SMTP) 就 是 对 标准 SMTP 协议 进行 的 扩展 。 它 与 
SMTP 服务 的 区 别 仅仅 是 使 用 SMTP 发 信 不 需要 验证 用 户 账户 ,而 用 ESMTP 发 信 时 服 
务 器 会 要 求 用 户 提供 用 户 名 和 密码 以 便 验证 身份 。 验 证 之 后 的 邮件 发 送 过 程 与 SMTP 
方式 没有 两 样 。 

一 旦 传送 通道 建立 ,SMTP 发 送 者 发 送 MAIL 命令 指明 邮件 发 送 者 。 如 果 SMTP 
接收 者 可 以 接收 邮件 则 返回 OK 应 答 ,SMTP 发 送 者 再 发 出 RCPT 命令 确认 邮件 是 否 收 
到 。 如 果 SMTP 接收 者 能 收 到 , 则 返回 OK 应 答 。 如 果 不 能 接收 到 , 则 发 出 拒绝 接收 应 
答 ( 但 不 中 止 整个 邮件 操作 ) 。 双 方 将 如 此 重复 多 次 . 当 接收 者 收 到 全 部 邮件 后 会 接收 到 
特别 的 序列 ,如 果 接 收 者 成 功 处 理 了 邮件 , 则 返回 OK 应 答 。 

SMTP 提供 传送 邮件 的 机 制 , 如 果 接 收 方 与 发 送 方 连接 在 同一 个 传送 服务 下 时 , 邮 
件 可 以 直接 由 发 送 方 主机 传送 到 接收 方 主机 。 当 两 者 不 在 同一 个 传送 服务 下 时 , 则 通过 
中 继 SMTP 服务 器 传送 。 为 了 能 够 对 SMTP 服务 器 提供 中 继 能 力 , 它 必须 拥有 最 终 目 
的 主机 地 址 和 邮箱 名 称 。 

由 于 大 多 数 电 子 邮件 程序 缺少 认证 、 完 整 性 和 机 密 性 服务 ,因此 SMTP 常 受到 电子 
邮件 炸弹 等 攻击 。 


2. FTP 协议 与 应 用 


文件 传输 协议 (file transfer protocol,FTP) 是 基于 TCP 的 应 用 程序 ,经 常用 来 存储 
和 检索 大 型 数据 文件 。 该 协议 用 了 两 个 TCP 连接 ,一 个 用 于 初始 化 控制 连接 , 它 由 客户 
端 向 服务 器 端 发 起 。 另 一 个 用 于 FTP 数据 连接 , 它 由 服务 器 端 发 起 。 大 多 数 常 规 的 
FTP 应 用 为 每 个 文件 传输 创建 一 个 新 的 端口 号 。 这 些 要 求 在 严格 禁止 外 部 发 起 FTP 连 
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接 的 环境 下 会 遇 到 问题 , 包 过 滤器 将 阻止 从 服务 器 发 回 的 输入 数据 连接 ,这 将 导致 文件 
传输 无 法 进行 。 为 了 解决 这 个 问题 ,开发 了 被 动 式 FTP。 在 这 种 方式 下 ,控制 连接 和 数 
据 连 接 都 由 客户 端 发 起 ,这 样 负责 包 过 滤 的 防火 墙 将 能 提供 必要 的 安全 保护 ,但 又 不 会 
阻挠 数据 的 传输 。 图 2-10 为 FTP 操作 流程 。 


控制 连接 
数据 连接 


2-10 FTP 操作 流程 


3. NFS/NIS 服务 与 应 用 


网 络 文件 系统 (network file system,NFS) 和 网 络 信息 系统 (network information 
system, NIS) 是 UNIX 环境 中 常用 的 服务 。NFS 用 于 访问 远程 文件 系统 ,通过 允许 安装 
远程 文件 系统 使 他 们 可 以 被 本 地 访问 。NIS 用 于 在 客户 /服务 器 关系 中 创建 中 央 服 务 和 
数据 库 。NIS 和 NFS 经 常 结合 使 用 以 帮助 强化 所 装 系统 的 文件 许可 。NFS 和 NIS 都 采 
用 UDP 作为 底层 协议 。 按 照 典型 的 配置 ,在 连接 的 两 端 仅 有 有 限 的 认证 能 力 , 这 些 服 务 
是 极 不 可 靠 的 。 


233 常见 TCPIP 安全 问题 


在 理解 了 TCP/IP 协议 的 一 些 结构 安全 体系 后 ,下 面 再 讲述 一 下 有 关 对 TCP/IP 协 
议 得 中 的 设计 漏洞 的 攻击 。 一 般 来 说 ,对 于 TCPVIP 的 攻击 主要 包括 IP 地 址 欺骗 .隐蔽 
通道 IP 分 片 攻击 .连接 劫持 等 方面 。 


1. IP 地 址 欺骗 


在 很 多 攻击 类 型 中 ,攻击 者 都 会 用 另 一 个 地 址 来 蔡 换 发 送 者 的 IP 地 址 ,IP 欺骗 
(spoofing) 通 常 被 用 来 突破 一 个 目标 主机 。 此 外 ,IP 欺骗 也 常 被 用 作 发 起 DoS( 拒 绝 服 
务 ) 攻 击 。 攻 击 者 通过 修改 IP 分 组 ,误导 目标 主机 ,使 其 以 可 信任 主机 方式 接受 最 初 的 
分 组 。 在 这 个 过 程 中 ,攻击 者 必须 知道 被 信任 主机 的 IP 地 址 ,并 且 修 改 分 组 头 部 ( 源 IP 
地 址 ) ,以 便 让 其 看 起 来 像 是 来 自 被 信任 的 主机 。 

实施 针对 某 主机 的 DoS 攻击 时 ,攻击 者 并 没有 兴趣 接收 来 自 目 标 受害 者 的 有 效 数据 
或 信息 ,其 唯一 的 目的 就 是 让 受 攻击 的 服务 器 拒绝 向 其 合法 用 户 提供 服务 ,并 且 不 暴露 
攻击 者 自己 。 这 样 的 话 , 返 回 地 址 或 者 源 地 址 就 可 以 被 欺骗 。 

从 上 面 的 IP 数据 报 报头 格式 可 以 看 出 ,由 于 缺乏 认证 , 它 不 能 保证 数据 包 的 真实 来 
源 ,这 就 构成 了 IP 欺骗 的 基础 。 由 于 协议 的 缺陷 ,到 目前 还 没有 理想 的 方法 可 以 彻底 根 
除 IP 欺骗 。 只 是 通过 各 种 手段 ,尽量 减少 这 种 威胁 。 目 前 较为 理想 的 方法 是 使 用 防火 
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墙 ,由 防火 墙 来 决定 是 否 允 许 外 部 的 IP 数据 包 进入 局 域 网 ,对 来 自 外 部 的 IP 数据 包 进 行 
检验 。 假 如 过 滤器 看 到 来 自 外 部 的 数据 包 说 明 中 有 内 部 的 地 址 , 它 一 定 是 欺骗 包 ; 反 之 
亦 然 。 如 果 数 据 包 的 IP 不 是 防火 墙 内 的 任何 子 网 , 它 就 不 能 离开 防火 墙 。 在 某 种 意义 
上 ,过 滤器 分 割 能 将 Internet 分 成 小 区 域 。 除 子 网 内 部 外 , 子 网 之 间 不 能 欺骗 。 这 种 方 
法 虽然 能 够 很 好 地 解决 问题 ,但 是 一 些 防火 墙 并 不 能 够 正确 地 区 分 内 部 与 外 部 的 数据 
包 , 并 且 在 实际 应 用 中 局 域 网 与 局 域 网 之 间 也 常常 需要 有 相互 的 信任 关系 以 共享 资源 ， 
这 种 方案 不 具备 较 高 的 实用 价值 。 

源 路 由 选择 是 另 一 种 形式 的 IP 欺骗 , 它 利用 了 IP 选项 的 “ 源 路 由 选择 ”(source 
routing)。“ 源 路 由 选择 ?允许 发 送 主机 指定 目标 主机 应 答 时 经 过 的 路 径 。 因 此 ,攻击 主 
机 时 ,可 以 通过 源 路 由 选择 绕 过 被 冒充 的 主机 ,控制 远程 主机 的 应 答 路 径 选 择 进行 攻击 。 
由 于 路 由 器 一 般配 置 为 禁止 源 路 由 选择 ,因此 源 路 由 选择 攻击 难以 实现 。 


2. 隐蔽 通道 


隐蔽 通道 (covert channel) 可 以 被 认为 是 两 个 实体 间 的 一 个 管道 或 者 通信 通道 ,可 被 
某 个 进程 或 者 应 用 程序 利用 ,以 违反 系统 安全 规定 的 方式 进行 信息 传输 。 对 TCP/IP 而 
言 , 在 这 种 情况 下 建立 隐蔽 通道 ,数据 就 可 以 在 两 个 终端 系统 间 秘 密 地 传递 。 以 ICMP 
为 例 , 在 下 列 环境 下 ,ICMP 消息 可 以 提供 出 错 或 者 控制 机 制 。 

(1) 用 数据 包 来 测试 连接 性 /可 达 性 ,Echo 和 Echo-Reply 消息 。 

(2) 报告 数据 包 不 可 到 达 目 的 地 。 

(3) 报告 中 转 数 据 包 出 现 缓冲 区 容量 问题 , 源 队列 消息 。 

(4) 报告 数据 包 路 由 路 径 更 改 , 重 定向 消息 。 

ICMP 处 于 TCP/IP 协议 簇 的 网 络 层 ,可 在 所 有 的 TCP/IP 主机 上 实现 。 按 照 ICMP 
协议 规定 ,ICMP Echo Request 消息 应 该 有 一 个 8 字 节 长 的 头 部 和 一 个 56 字 节 长 的 负 
载 。ICMP Echo Request 分 组 不 应 该 在 负载 中 携带 任何 数据 。 不 过 ,此 类 分 组 常 被 用 来 
携带 秘密 信息 。 只 要 稍微 改动 一 下 ,在 ICMP 分 组 负载 中 携带 秘密 数据 ,这 可 能 使 得 分 
组 更 大 了 ,但 协议 簇 本 身 并 没有 针对 这 些 问题 的 控制 措施 。 修 改 ICMP 分 组 可 以 入 侵 者 
有 机 会 编写 特殊 的 客户 端 /服务 器 程序 ,这 些 很 小 的 代码 能 够 不 经 网 络 管理 员 注 意 输出 
机 密 信息 。 阻 止 超出 特定 大 小 限制 的 ICMP 分 组 是 唯一 可 以 避免 此 漏洞 问题 的 方案 。 
事实 上 ,隐蔽 通道 普遍 存在 于 TCP/IP 协议 簇 的 所 有 底层 协议 中 。 


3. IP 分 片 攻击 


由 于 IP 协议 是 允许 对 数据 分 组 进行 分 片 的 ,正如 前 面 所 述 ,IP 分 片 偏 移 用 来 跟踪 同 
一 个 数据 报 的 不 同 部 分 。 此 字段 中 的 信息 内 容 可 用 来 在 目的 地 重组 数据 包 。 所 有 此 分 
类 分 片 都 有 相同 的 标识 字段 ,分 片 偏 移 指明 当前 分 片 在 整个 原始 分 组 中 的 位 置 。 许 多 访 
问 服务 器 和 防火 墙 并 不 做 分 组 重组 ,在 正常 的 操作 中 ,IP 分 片 不 会 相互 重要 ,但 是 攻击 者 
可 能 特意 构造 分 片 分 组 ,以 误导 路 由 器 或 防火 墙 。 这 些 分 组 通常 都 很 小 ,因为 数据 和 计 
算 量 大 ,对 终端 系统 来 说 是 很 难 应 付 的 。 这 里 假定 ,精心 构造 的 第 二 个 分 片 分 组 有 一 个 
比 之 前 分 片 分 组 长 度 更 小 的 偏 移 量 , 直 到 数据 分 组 要 在 目的 站 点 重组 ,第 二 个 分 片 会 和 
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第 一 个 分 片 重 释 几 个 字 。 这 种 畸 型 IP 分 组 会 影响 目的 站 点 操作 系统 的 正常 工作 , 常 导 
致 系统 崩 演 、 重 新 启动 .内核 转 储 和 其 他 无 法 保证 的 行为 。 

利用 IP 分 片 攻击 典型 的 例子 是 Ping of Death 攻击 。 这 种 攻击 发 生 时 ,入 侵 者 发 送 
分 片 , 当 这 些 分 片 在 目的 地 重组 时 ,会 产生 一 个 超出 最 大 允许 长 度 的 数据 分 组 。 这 类 攻 
击 的 一 个 用 途 是 绕 过 入 侵 检测 系统 的 传感器 。 单 个 分 片 并 不 会 匹配 任何 已 知 签名 
(signature) ,但 当 重 每 地 址 覆盖 某 些 数据 之 后 ,攻击 者 就 可 能 被 识别 。 访 问 路 由 器 和 防 
火 墙 需要 实施 恰当 的 IP 过 滤 及 配置 ,确保 阻塞 此 类 攻击 。 这 些 设备 需要 对 那些 具有 非 
零 偏 移 量 的 分 片 限定 最 小 偏 移 量 , 以 防止 重生 发 生 , 保 证 TCP/IP 程序 不 发 生 溢出 。 


4. SYN 泛 洪 


TCP/IP 协议 簇 会 在 整个 生命 期 内 使 用 多 个 定时 器 ,包括 连接 建立 定时 器 
(connection establishment timer) ,FIN_WAIT 定时 器 和 KEEP_ALIVE 定时 器 。 当 开 
始 正 常 的 TCP 连接 时 ,目的 主机 将 收 到 一 个 来 自 源 主机 的 同步 /开始 (synchronize/ 
start,SYN) 包 ,并 发 送 一 个 同步 确认 (synchronize acknowledge,SYNVACK) 包 。 目 标 主 
机 在 建立 连接 之 前 必须 听 到 对 方 对 SYN/ACK 的 确认 (acknowledge,ACK) ,这 个 信息 交 
换 过 程 就 是 前 面 介绍 的 TCP 的 三 次 握手 。 在 等 待 对 SYN/ACK 时 ,目标 主机 中 大 小 有 
限 的 连接 队列 始终 跟踪 正在 等 待 完 成 的 连接 。 该 队列 通常 很 快 能 清空 ,因为 一 般 在 发 送 
出 SYN/ACK 之 后 的 几 毫 秒 之 内 就 能 收 到 ACK。TCP SYN 攻击 利用 了 TCP 的 这 种 设 
计 。 攻 击 性 的 源 主机 通过 用 随机 源 地 址 向 受害 主机 发 送 TCP SYN 包 。 受 害 的 目的 主机 
将 SYN/ACK 发 送 回 随机 源 地 址 ,并 向 连接 队列 中 增加 一 个 条 目 。 由 于 SYN/ACK 指 
定 的 接收 方 是 不 正确 或 根本 不 存在 的 主机 ,因此 三 次 握手 的 最 后 一 部 分 肯定 无 法 完成 。 
于 是 连接 条 目 将 一 直 保存 在 连接 队列 中 ,直到 超时 ,通常 约 1 分 钟 。 如 果 保 持 很 快 的 速 
度 通 过 随机 IP 地 址 生成 假冒 的 TCP SYN 包 , 和 侵 者 就 可 以 把 被 攻击 主机 的 连接 队列 填 
满 ,使 之 拒绝 为 合法 用 户 提供 TCP 服务 (如 电子 邮件 .FTP 或 WWW 服务 )。 

由 于 源 主 机 的 IP 地 址 是 伪造 的 ,因此 很 难 跟踪 攻击 的 发 起 者 。 虽然 利用 SYN 攻击 
可 以 实现 拒绝 服务 ,但 是 在 许多 情况 下 ,攻击 者 都 是 利用 TCP/IP 设计 中 的 固有 缺陷 进 
行 攻击 ,把 SYN 攻击 作为 其 他 复杂 欺骗 和 攻击 的 基础 。 

作为 面向 连接 的 协议 ,TCP/IP 必须 能 够 适应 连接 次 数 的 变化 ,保证 一 定 的 连接 次 
数 。 另 外 ,由 于 信息 在 计算 机 之 间 来 回 的 时 间 跨 度 变化 很 大 ,需要 充足 的 时 间 量 来 保证 
连接 的 顺利 建立 。 然 而 ,只 要 连接 建立 持续 时 间 是 有 限 的 ,其 他 主机 就 能 向 它 发 送 很 多 
不 能 完成 的 连接 请 求 , 最 终 阻 塞 目标 主机 。 这 就 意味 着 完全 根除 SYN 攻击 是 非常 困难 
的 。 通 过 增加 缓存 中 最 大 未 完成 连接 的 次 数 ( 或 动态 地 分 配 代 蔡 固 定 的 最 大 值 ) ,可 以 迫 
使 攻击 者 增加 工作 量 ,达到 减少 攻击 的 目的 。 但 只 要 最 大 未 完成 连接 数 是 固定 的 ,问题 
就 不 能 完全 解决 。 


5. 连接 劫持 


连接 劫持 就 是 攻击 者 将 自己 插入 两 台 主 机 建立 的 连接 中 间 并 控制 连接 ,是 IP 欺骗 
的 另 一 种 方式 。 虽 然 IP 欺骗 不 能 通过 安全 认证 措施 ,但 是 连接 劫持 攻击 却 可 以 在 两 台 


48 


Miunats siant 


主机 间 通 过 认证 后 ,进行 数据 通信 时 捕获 连接 ,实施 攻击 。 连 接 支持 利用 同步 破坏 
(desynchronized state) , 当 接 收 的 数据 包 的 序列 号 与 期 望 的 不 同时 , 称 为 连接 同步 破坏 。 
TCP 为 了 通信 可 靠 性 ,考虑 到 数据 包 丢 失 和 网 络 等 待 等 情况 ,会 造成 数据 包 接收 的 无 序 
状态 ,因此 使 用 活动 窗口 来 支持 有 效 通 信 。 这 样 的 话 ,TCP 根据 数据 包 的 序列 号 是 否 在 
当前 窗口 中 ,决定 丢弃 还 是 缓存 接收 的 数据 包 。 当 两 台 主 机 的 同步 破坏 达到 一 定 程度 ， 
它们 就 相互 丢 包 。 接 着 .攻击 者 使 用 带 有 正确 序列 号 的 欺骗 包 , 暗 中 修改 或 增加 通信 和 命 
令 。 但 显然 ,攻击 者 只 有 对 两 台 主机 的 通信 进行 窃听 ,才能 复制 数据 包 。TCP 连接 可 能 
会 被 非 授 权 用 户 轻易 地 支持 ,以 一 个 Web 服务 为 例 进行 说 明 。 

如 图 2-11 所 示 ,一 个 授权 用 户 发 送 HTTP 请 求 给 Web 服务 器 , Web 服务 器 只 当 来 
自用 户 A 的 分 组 具有 正确 的 SEQ/ACK 号 时 才 会 接受 。 正 如 前 面 所 述 ,这 些 数字 对 于 
Web 服务 器 区 别 不 同 会 话 并 确保 与 用 户 A 持续 通话 非常 重要 。 假 定 攻 击 者 冒充 用 户 A 
向 Web 服务 器 发 送 数 据 分 组 ,有 正确 的 SEQ/ACK 组 合 ,Web 服务 器 就 会 接受 这 种 分 组 
并 让 ACK 号 递增 。 
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图 2-11 连接 劫持 


与 此 同时 ,用 户 A 持续 发 送 数据 分 组 ,但 SEQ/ACK 号 已 经 改变 ,结果 来 自用 户 A 
的 所 有 不 同步 的 数据 分 组 都 会 被 Web 服务 器 丢弃 。 攻 击 者 用 正确 的 序列 号 伪装 成 用 户 
A, 最 终 导致 动 持 连 接 。 而 用 户 A 却 被 搞 糊涂 了 ,Web 服务 器 会 因为 攻击 者 发 送 正确 的 
同步 数据 而 进行 回复 。 由 于 连接 支持 攻击 很 难 发 现 ,用 户 A 的 会 话 中 断 , 但 大 多 数 的 网 
络 用 户 会 重新 连接 会 话 , 认 为 此 事 是 网 络 的 问题 。 


6. TCP/IP 序号 攻击 


多 数 TCP/IP 程序 应 用 按照 可 预知 的 模式 来 选择 序号 。 当 主机 执行 自 引导 时 ,其 初 
始 序号 为 1, 初始 序号 每 秒 增加 128000。 因 此 ,如果 没 有 连接 发 生 ,32 位 的 初始 序号 计数 
器 每 9. 32 小 时 就 会 循环 一 次 。 每 发 生 一 次 连接 初始 化 ,计数 器 增加 64000。 如 果 发 生 连 
接 时 ,序号 是 随机 选择 的 ,那么 就 不 能 保证 所 选 的 序号 与 前 一 个 不 同 。 正 是 由 于 序号 不 
是 随机 选 定 的 , 当 攻 击 者 知道 序号 的 选择 模式 后 .就 可 能 发 生 TCP/IP 序号 攻击 ,假冒 其 
他 主机 ,具体 过 程 如 图 2-12 所 示 。 
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2-12 ”TCP/IP 序号 攻击 


第 一 步 : 攻击 者 (主机 A) 建 立 到 服务 器 的 合法 连接 并 据 此 判断 序号 的 选择 模式 。 

第 二 步 : 攻击 者 利用 服务 器 信任 的 主机 地 址 (192. 168. 1. 6) ,用 假 的 源 地 址 生成 
TCP 连接 请 求 , 开 始 攻击 。 它 在 冒充 主机 的 同时 还 向 被 冒充 的 主机 发 起 攻击 ,使 之 瘫痪 。 
第 三 步 : 服务 器 响应 连接 请 求 , 但 由 于 可 信任 的 主机 处 于 DoS 攻击 下 ,无 法 应 答 。 

第 四 步 : 攻击 者 等 待 一 段 时 间 以 确保 服务 器 已 经 答复 ,然后 用 猜测 的 序号 给 以 回应 。 

如 果 攻 击 者 推断 的 序号 正确 ,服务 器 就 会 受到 安全 威胁 。 无 论 何 时 主机 A 和 主机 B 
进行 通信 ,攻击 者 可 以 用 正确 的 序列 号 复制 A 和 B 的 数据 包 进行 发 送 ,当然 也 能 对 数据 
包 进 行 修改 。 

防止 欺骗 的 最 佳 方法 是 在 网 络 的 入口 和 出 口 点 设置 包 过 滤器 ,外 部 入 口 点 过 滤器 明 
确 拒绝 所 有 声称 来 自 内 部 网 络 主机 的 外 部 数据 包 。 同 样 ,在 内 部 出 口 点 过 滤器 则 只 允许 
来 自 内 部 网 络 主机 出 去 的 数据 包 。 


7. 连接 中 的 连接 失效 


若 主机 A 和 主机 B 已 经 建立 连接 ,在 连接 持续 期 间 发 送 RST 包 将 终止 连接 。 要 在 
连接 持续 期 间 实现 同步 破坏 ,而 不 终止 连接 ,只 需要 修改 序列 号 计数 器 。 

实际 上 ,Telnet 协议 允许 使 用 NOP 命令 增加 接收 者 的 序列 号 计数 器 ,如 果 发 送 足 够 
多 的 NOP 命令 ,攻击 者 就 能 实现 同步 破坏 ,并 用 正确 的 序列 号 复制 数据 包 。 


8. 路 由 (RIP) 攻 击 


“路 由 信息 协议 ”RIP) 可 以 在 网 络 中 进行 路 由 信息 (如 最 短路 径 ) 分 配 ,在 广域网 上 
广播 路 由 。 和 TCP/IP 一 样 ,RIP 没有 认证 机 制 ,不 能 检测 RIP 包 上 的 信息 。RIP 攻击 
与 其 他 攻击 不 同 , 它 改变 了 数据 的 去 向 ,而 不 是 数据 的 出 处 。 例 如 ,攻击 者 伪造 RIP 包 ， 
宣称 他 的 主机 A 有 最 快 的 路 径 到 达 其 他 网 络 ,造成 所 有 从 该 网 络 发 出 的 数据 包 都 将 经 过 
A 路 由 ,这 时 他 就 可 以 修改 或 检查 数据 包 。 另 外 ,攻击 者 也 可 以 假冒 任何 主机 ,把 所 有 的 
网 络 流量 引导 到 他 冒充 的 主机 而 不 是 自己 ,达到 攻击 对 方 的 目的 。 
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9. ICMP 攻击 


IP 层 使 用 Internet 控制 消息 协议 向 远程 发 送 单 向 消息 ,例如 ,ping 命令 向 远程 主机 
发 送 ICMP 的 Echo Request, 等 待 它 回 送 ICMP 的 Echo Reply 消息 。 其 他 ICMP 消息 具 
有 相似 的 组 成 。ICMP 没有 认证 ,可 以 利用 ICMP 进行 拒绝 服务 攻击 或 进行 数据 包 截 取 。 

拒绝 服务 攻击 使 用 ICMP 的 * 超 时 ”(time exceeded) 和 “无 法 访问 目标 ”(destination 
unreachable) 消 息 。“ 超 时 ?消息 指明 IP 数据 报 的 生存 时 间 (Time-To-Live) 已 到 期 ,主要 
由 路 由 循环 或 到 达 远 程 主机 过 于 遥远 引起 。“ 无 法 访问 目标 ?表明 数据 包 不 能 成 功 地 送 
达 目 标 主 机 。 这 两 个 ICMP 消息 能 引起 主机 突然 终止 连接 。 攻 击 者 利用 它 ,简单 伪造 
“超时 ”或 “无 法 访问 目标 ”的 消息 ,发 送 给 正在 通信 的 远程 主机 ,远程 主机 的 连接 将 被 
终止 。 


24 TCRPIP 的 安全 性 改 迁 


由 于 TCP/IP 协议 安全 性 的 欠缺 ,对 应 于 ISO/OSI 的 网 络 安全 体系 结构 ,人 们 采用 
了 在 各 个 层次 采取 相应 的 安全 协议 来 处 理 , 这 有 点 类 似 于 打 补 丁 , 利 用 相应 的 技术 来 加 
强 与 完善 TCP/IP 的 安全 。 根 据 各 个 层次 的 特点 ,通常 采取 以 下 方式 来 进行 安全 改进 ， 
如 图 2-13 所 示 。 


SHTTP MOSS PEM 
应 用 层 PGP 
SSH Kerberos S/MIME 
传输 层 SSL 
网 络 层 IPSec IPv6 ISAKMP 
数据 链 路 层 
物理 层 


2-13 TCP/IP 安全 协议 结构 


241 应 用 层 安 全 协议 


应 用 层 与 特定 的 应 用 程序 有 关 ,而 与 网 络 上 数据 移动 的 细节 联系 较 少 ,常见 的 就 是 
安全 超 文本 传输 协议 (secure hypertext transfer protocol,SHTTP)。 它 是 一 种 安全 的 面 
向 消息 的 通信 协议 ,设计 用 于 保护 使 用 HTTP 协议 的 消息 的 安全 。 这 种 协议 保留 了 
HTTP 的 特征 ,同时 允许 请 求 和 应 答 消息 被 签名 、 认 证 ,加 密 或 这 些 方法 的 任意 组 合 。 
SHTTP 可 以 使 用 “选项 协商 ”来 允许 客户 机 与 服务 器 在 下 列 内 容 上 达成 一 致 。 

(1) 事务 模式 : 什么 内 容 应 该 被 签名 或 加 密 。 

(2) 加 密 算法 : 使 用 何 种 算法 来 进行 签名 或 加 密 。 

(3) 证 书 选择 : 使 用 哪 一 种 证 书 。 
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在 实践 中 ,SHTTP 得 到 的 应 用 并 不 广泛 ,对 于 Web 安全 而 言 , 在 传输 层 处理 要 更 加 
容易 一 些 。 


242 传输 层 安 全 协议 


安全 套 接 字 层 协议 (secure sockets layer,SSL) 是 由 Netscape 设计 的 一 种 开放 协议 ， 
它 指定 了 一 种 应 用 程序 协议 (如 HTP、Telnet、.FTP) 和 TCP/IP 间 提 供 数 据 安全 性 分 层 
的 机 制 ,为 TCP/IP 连接 提供 数据 加 密 、 服 务 器 认证 、 消 息 完整 性 以 及 可 选 的 客户 机 认 
证 。SSL 的 主要 目标 是 在 两 个 通信 应 用 程序 间 提 供 私密 性 和 可 靠 性 ,这 个 过 程 由 以 下 三 
个 元 素来 完成 。 


1. 握手 协议 


此 协议 负责 协商 被 用 于 客户 机 和 服务 器 之 间 会 话 的 加 密 参 数 。 当 一 个 SSL 客户 机 
和 服务 器 第 一 次 开始 通信 时 ,它们 在 一 个 协议 版 本 上 达成 一 致 ,选择 加 密 算法 ,选择 相互 
认证 ,并 使 用 公 钥 技术 来 生成 共享 密 钥 。 


2. 记录 协议 


这 个 协议 用 于 交换 应 用 层 数据 。 应 用 程序 消息 被 分 割 成 可 管理 的 数据 块 ,还 可 以 压 
缩 ,并 应 用 一 个 MAC( 消 息 认证 代码 )。 然 后 结果 被 加 密 并 传输 ,接受 方 接受 数据 并 对 它 
解密 , 校 验 MAC ,解压 缩 并 重新 组 合 它 , 再 把 结果 提交 给 应 用 程序 协议 。 


3. 警告 协议 


这 个 协议 用 于 指示 在 什么 时 候 发 生 了 错误 或 两 个 主机 之 间 的 会 话 在 什么 时 候 终 止 。 

安全 套 接 字 层 协议 (SSL) 的 最 大 优点 是 它 提供 了 连接 安全 ,其 具有 三 个 基本 属性 。 

(1) 连接 是 私有 的 。 在 初始 握手 定义 了 一 个 密 钥 之 后 .将 使 用 加 密 算法 。 对 于 数据 
加 密使 用 对 称 加 密 ( 如 DES 和 RC4)。 

(2) 可 以 使 用 非 对 称 加 密 或 公 钥 加 密 ( 如 RSA 和 DSS) 来 验证 对 等 实体 的 身份 。 

(3) 连接 时 可 靠 的 。 消 息 传 输 使 用 一 个 密 钥 的 MAC ,包括 了 消息 完整 性 检查 。 其 中 
使 用 了 散 列 函数 (如 SHA 和 MD5) 来 进行 MAC 计算 。 

下 面 来 看 一 个 使 用 Web 客户 机 和 服务 器 的 范例 ,如 图 2-14 所 示 。Web 客户 机 通过 
连接 到 一 个 支持 SSL 的 服务 器 ,启动 一 次 SSL 会 话 。 支 持 SSL 的 典型 Web 服务 器 在 一 
个 与 标准 HTTP 请 求 (默认 为 端口 80) 不 同 的 端口 (默认 为 443) 上 接受 SSL 连接 请 求 。 
当 客 户 机 连接 到 这 个 端口 上 时 , 它 将 启动 一 次 建立 SSL 会 话 的 沟通 。 当 沟通 完成 之 后 ， 
通信 内 容 被 加 密 ,并 且 执 行 消息 完整 性 检查 ,直到 SSL 会 话 过 期 。SSL 创建 一 个 会 话 ,在 
此 期 间 沟 通 必须 只 发 生 过 一 次 。 

第 一 步 : SSL 客户 机 连接 到 SSL 服务 器 ,并 要 求 服务 器 验证 它 自身 的 身份 。 

第 二 步 : 服务 器 通过 发 送 它 的 数字 证 书证 明 其 身份 。 这 个 交换 还 可 以 包括 整个 证 书 
链 , 直 到 某 个 根 证 书 权 威 机 构 (CA)。 通 过 检查 有 效 日 期 并 确认 证 书包 含有 可 信任 CA 的 
数字 签名 ,来 验证 证 书 。 
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SSL 客户 机 SSL 服务 器 
客户 机 发 出 安全 会 话 请 求 
|_。 服务 器 发 送 证 书 (包含 公用 密 钥 ) 
客户 机 随机 生成 密 钥 
并 用 服务 器 的 公用 密 钥 加 密 


用 户 用 已 知 的 CA 来 认证 证 书 
用 户 确认 过 程 


协商 加 密 算 法 和 散 列 函 数 


| 


2-14 ”SSL 握手 过 程 步骤 


第 三 步 : 服务 器 发 出 一 个 请 求 , 对 客户 端的 证 书 进行 验证 。 但 是 ,因为 缺乏 公 钥 体系 
结构 ,当今 的 大 多 数 服务 器 不 进行 客户 端 认证 。 

第 四 步 : 协商 用 于 加 密 的 消息 加 密 算法 和 用 于 完整 性 检查 的 散 列 函 数 。 通 常 由 客户 
机 提供 它 支持 的 所 有 算法 列表 ,然后 由 服务 器 选择 最 强健 的 加 密 算法 。 

第 五 步 : 客户 机 和 服务 器 通过 下 列 步骤 生成 会 话 密 钥 。 

(1) 客户 机 生成 一 个 随机 数 , 并 使 用 服务 器 的 公 钥 (从 服务 器 的 证 书 中 获得 ) 对 它 加 
密 , 并 发 送 到 服务 器 上 。 

(2) 服务 器 用 更 加 随机 的 数据 (客户 机 的 密 钥 可 用 时 则 使 用 客户 机 密 钥 ,否则 以 明文 
方式 发 送 数 据 ) 响 应 。 

(3) 使 用 散 列 函 数 ,从 随机 数据 生成 密 钥 。 

对 于 SSL 的 接受 程度 仅仅 限于 HTTP 内 。 尽 管 在 其 他 协议 中 已 被 证 明 可 以 使 用 ， 
但 还 不 成 熟 ,并 没有 被 广泛 应 用 。IETF 正在 定义 一 种 新 的 协议 ,叫做 “传输 层 安全 ” 
(transfer layer security,TLS)。 它 建立 在 Netscape 所 提出 的 SSL 3.0 协议 规范 基础 上 ， 
但 是 在 TLS 和 SSL 3.0 之 间 存 在 着 显著 的 差别 (主要 是 它们 所 支持 的 加 密 算 法 不 同 ) ,所 
以 TLS 1.0 和 SSL 3.0 不 能 互 操 作 。 


243 网 络 层 安 全 


网 络 层 安全 是 指 在 TCP/IP 协议 栈 的 IP 层 上 的 安全 性 服务 ,主要 包括 IP 安全 协议 
(IP security,IPSec) 套 件 。 它 由 一 套 标 准 组 成 ,用 于 在 IP 层 上 提供 保密 性 和 认证 服务 。 
为 了 确保 在 任何 IP 网 络 上 拥有 安全 的 私密 通信 ,也 为 了 整合 不 同 标准 及 不 同 厂 商 产 品 ， 
IETF 着 手 制定 了 一 套 开放 标准 网 络 安全 协议 IPSec(IP security) 。 它 将 密码 技术 应 用 在 
网 络 层 ,以 提供 传送 .接收 端 做 数据 的 认证 (authentication) 完整 性 (integrity) 、 存 取 控 制 
(access control) 以 及 机 密 性 (confidentiality) 等 安全 服务 ,高 层 的 应 用 协议 也 可 以 直接 或 
间接 地 使 用 这 些 安全 服务 。 

IPSec 是 设计 来 达到 网 络 层 中 端 到 端 安全 通信 的 第 三 层 协议 , 它 主 要 的 架构 是 IP 认 
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证 标 头 (authentication heade, AH) 以 及 IP 封装 安全 装载 (encapsulating security 
payload,ESP)。IP AH 提供 数据 的 完整 性 和 认证 ,但 不 包括 机 密 性 ,而 IP ESP 原则 上 只 
提供 机 密 性 ,但 也 可 以 在 ESP Header 中 制定 适当 的 算法 及 模式 来 确保 数据 的 完整 性 并 
得 到 认证 ,IP AH 和 IP ESP 可 以 分 开 使 用 或 一 起 使 用 。 完 整 的 IPSec 还 应 包括 IP AH 
和 IP ESP 中 所 使 用 密 钥 的 交换 和 管理 ,也 就 是 安全 群 组 (security assocication,SA) 和 密 
钥 管 理 (Internet key exchange,IKE)。 由 于 IPSec 应 用 广泛 ,下 面 对 这 些 内 容 做 一 下 简 
单 论述 。 


1. 认证 头 (authentication header,AH) 


IP AH 需要 使 用 128 位 的 MD5 计算 出 整个 数据 的 散 列 函 数值 ,使 得 接收 端 也 可 以 
验证 ,计算 是 否 使 用 了 相同 的 密 钥 以 检查 数据 是 否 正确 完整 ,车 检查 不 符 则 将 此 数据 包 
丢弃 。 将 这 个 头 添加 到 IP 数据 包 中 后 ,将 确保 数据 完整 性 和 数据 源 认证 ,包括 外 部 IP 头 
中 的 不 变 字段 。 


2. 封装 安全 有 效 载荷 (encapsulating security payload ,ESP) 


IP ESP 标准 描述 如 何 加 密 IP 的 装载 数据 (payload) ,加 密 的 范围 可 以 是 整个 IP 数 
据 包 或 只 是 上 层 TCP .UDP 或 ICMP 数据 。IP ESP 所 使 用 的 保密 技术 是 数据 保密 标准 
(data encryption standard, DES) 或 Triple-DES, 模式 则 是 加 密 区 块 链 (cipher block 
chain,CBC)。 除 了 加 密 以 外 ,IP ESP 也 能 应 用 在 认证 、 完 整 性 以 及 防止 攻击 上 。 

在 IPSec 中 ,不 管 是 IP AH 或 IP ESP 均 有 两 种 不 同 的 操作 模式 ,隧道 模式 
(tunneling mode) 及 传输 模式 (transport mode) 。 


3. 隧道 模式 (tunneling mode) 


隧道 用 于 给 定 网 络 的 入 日 点 和 出 口 点 把 数据 包 封装 到 一 个 可 以 理解 的 协议 中 ,这 些 
入 口 点 与 出 口 点 被 定义 成 “隧道 接口 >。 隧道 模式 可 以 被 数据 包 端 点 和 中 间 安 全 网 关 支 
持 。 对 于 ESP 而 言 ,首先 使 用 SA 的 相关 信息 将 IP 的 数据 包 加 密 ( 含 IP 标 头 ) , 接 下 来 
在 前 面 加 上 ESP Header。 然 后 Prepend 新 的 IP 标 头 。 接 收 端 收 到 ESP 数据 包 后 ,使 用 
ESP Header 内 容 中 的 SPI 值 决定 SA ,然后 解 出 ESP Header 后 的 装载 数据 ,就 可 以 取 回 
原始 的 IP 标 头 与 数据 包 , 可 以 继续 地 往 下 传 ,如 图 2-15 所 示 。 


认证 头 (AH) 

新 耳 头 AH 初始 IP 头 数据 
经 过 认证 ， 除 了 新 P 头 中 可 记 账 字段 外 | 
封装 安全 性 有 效 载荷 (ESP) 

新 IP 头 | ESP 头 | 初始 耳 头 TCP 数据 ESP 尾 认证 ESP 


图 2-15 ”IPSec 隧道 模式 


54 


人 inksesnthx 


如 果 在 隧道 模式 下 使 用 AH, 则 外 部 IP 头 的 一 部 分 被 保护 以 及 隧道 中 的 所 有 IP 数 
据 包 受 到 保护 。 如 果 使 用 ESP, 则 将 只 保护 隧道 中 的 数据 包 ,而 不 保护 外 部 头 。 


4. 传输 模式 (transport mode) 


在 这 种 模式 中 ,两 个 主机 主要 为 上 层 协议 提供 保护 ,加 密 端点 是 数据 包 的 源 和 目的 
地 。 在 IPv4 中 ,传输 模式 安全 协议 头 出 现在 IP 头 之 后 ,并 且 位 于 任何 高 层 协议 之 前 ,这 
个 过 程 如 图 2-16 所 示 。 


认证 头 (AH) 
加 入 AH 前 


初始 IP 头 TCP 数据 


初始 全 头 AH TCP 数据 
经 过 认证 ， 除 了 IP 头 中 的 可 记 账 字段 外 


封装 安全 性 有 效 载荷 (ESP) 
加 入 ESP 前 初始 卫 头 TCP 数据 


加 入 ESP 后 | 初始 IP 头 | ESP 头 | TCP | 数据 ESP 尾 认证 ESP 
加 密 

认证 

图 2-16 ”IPSec 传输 模式 


在 IP AH 的 传输 模式 下 ,所 有 上 层 信息 都 得 到 保护 ,并 且 IPv4 头 中 所 有 字段 一 般 都 
在 传输 途中 修改 。 在 IP ESP 的 传送 模式 下 ,只 为 高 层 协议 提供 安全 服务 ,ESP 标 头 直接 
加 在 和 欲 传送 的 数据 前 ,这 种 模式 可 节省 带宽 。 因 为 IP 标 头 不 需 加 密 , 所 以 不 像 隧道 模 
式 , 一 个 数据 包 中 有 两 个 IP 标 头 。 首 先 将 IP 装载 数据 使 用 ESP 封装 起 来 (ESP Header 
和 ESP Trailer) ,发 送 端 利 用 使 用 者 ID 和 目的 端 地 址 得 到 SA 环境 ,然后 用 加 密 算法 
(DES 或 Triple-DES) 加 密 传 送 的 数据 。 接 收 端 接收 到 ESP 封装 的 数据 包 时 直接 处 理 IP 
标 头 (因为 没有 加 密 ) ,然后 从 ESP Header 拿 取 SPI 值 以 得 到 相对 的 SA, 再 利用 SA 的 
安全 环境 所 订 的 解密 函数 解 出 所 加 密 的 资料 。 对 传送 模式 而 言 ,解密 的 人 就 是 目的 地 端 
的 使 用 者 。 但 是 针对 Firewall .Gateway Proxy 而 言 , 使 用 隧道 模式 则 较为 合适 ,因为 它 
们 并 不 是 原始 的 传送 接收 端 。IP AH 与 IP ESP 可 以 独立 或 分 开 使 用 。 数 据 认 证 之 前 作 
加 密 的 好 处 是 对 认证 数据 也 有 加 密 , 因 此 ,没有 人 可 以 更 改 认证 数据 。 

在 IPSec 标准 中 最 重要 的 项 目 就 是 安全 关联 (security association,SA), 它 定义 了 一 
个 安全 的 “环境 ”。 这 个 环境 的 内 容 包 含 了 IP 数据 包 加 密 、 解 密 和 认证 的 相关 信息 ,叙述 
如 下 。 

(1) 密码 功能 : 提供 加 密 、 认 证 或 两 者 同时 。 

(2) 密码 算法 : 如 加 /解密 使 用 DES( 或 Triple-DES) ,认证 使 用 MD5( 或 SHA-1)。 

(3) 密码 算法 中 所 使 用 的 密 钥 , 密 钥 的 生命 周期 等 。 

(4) 是 否 有 初始 化 向 量 。 

(5) SA 的 生命 周期 。 
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SA 可 以 使 用 安全 参数 索引 SPI(32 位 ) 来 描述 ,也 就 是 一 个 SPI 值 决定 一 个 特定 的 
SA, 而 主机 的 IP 地 址 与 SPI 则 定义 了 唯一 的 SA。 例 如 ,主机 A 可 以 通知 主机 B,SPI 值 
为 1000, 它 所 相对 的 SA 环境 ,用 DES 加 密 , 密 钥 为 0x1234567890abcdef( 长 度 64 位 )。 
主机 A 就 可 以 利用 SPI 1000 的 值 来 加 密 它 的 数据 ,然后 传送 到 主机 B。 当 B 收 到 数据 包 
后 利用 主机 A 和 SPI 的 值 就 可 以 决定 出 SA 而 解密 取 回 原始 数据 。 

从 上 面 的 叙述 可 以 发 现 SA 是 单 向 的 (A-B) ,但 是 对 主机 A 与 主机 也 这 两 个 要 建立 
安全 通信 的 主机 而 言 则 需要 两 个 SA,(A-B) 和 (B-A) ,每 一 个 方向 一 个 。 此 外 SA 的 使 用 
有 两 种 键入 方式 ,主机 导向 键入 方式 (host-oriented keying) 与 使 用 者 导向 键入 方式 。 前 
者 是 不 考虑 使 用 者 ,从 同一 个 系统 所 发 出 的 数据 包 , 均 使 用 相同 的 密 钥 ,而 后 者 则 是 以 使 
用 者 为 参考 ,允许 使 用 者 有 不 同 的 密 钥 。 例 如 ,同一 使 用 者 有 多 把 密 钥 用 于 不 同 的 服务 ， 
如 FTP 与 Telnet 使 用 不 同 的 密 钥 。 

IPSec 采用 加 密 密 钥 用 于 认证 、 完 整 性 和 加 密 服 务 ,在 IP AH 和 1IP ESP 中 所 用 到 的 
认证 与 加 密 密 钥 ,如何 交换 与 管理 呢 ? 它 支 持 手 工 密 钥 分 发 ,也 支持 自动 密 钥 分 发 。 手 
工 密 钥 的 管理 方式 是 由 某 个 人 输入 与 和 其 他 系统 安全 通信 有 关 的 内 容 和 SA 管理 数据 ， 
从 而 手工 配置 每 一 个 系统 。 手 工 技术 只 能 用 在 小 规划 的 静态 环境 中 ,如 果 主 机 数 一 多 ， 
或 是 主机 数据 经 常 更 改 , 此 时 就 需要 一 套 安全 且 正 式 的 协议 来 做 这 件 事情 了 。 目 前 主要 
的 密 钥 管理 协议 的 参考 规范 有 SKIP (simple key-management for IP) 和 ISAKMP/ 
Oakley(Internet security association and key management protocol /Oakley) 。 上 述 两 种 
方法 都 可 应 用 在 IPv4 与 IPv6 中 ,SKIP 较为 简单 ,而 ISAKMP/Oakley 则 可 以 应 用 于 较 
多 的 协议 。 事 实 上 ,IP 层 的 密 钥 交换 协议 还 有 Photuris 和 SKEME 等 。 


5. SKIP 


它 是 由 Sun Microsystem 所 发 展 ,目前 有 三 种 版 本 : Sun, TIK 和 ELVIS 十 SKIP。 
SKIP 密 钥 管理 的 观念 是 阶层 式 的 密 钥 管理 。 通 信和 的 双方 真正 共享 的 密 钥 是 Kij( 这 是 利 
用 Diffie Hellman 的 公开 密 钥 对 而 达到 共享 的 ) 。 为 了 安全 的 考虑 ,公开 密 钥 应 到 凭证 管 
理 中 心 申 请 凭证 。 因 此 ,IPSec 的 使 用 也 需要 每 一 国家 的 公开 密 钥 基础 建设 (Public Key 
Infrastructure,PKJ) 来 配合 。SKIP 原来 想 和 ISAKMP 整合 ,但 失败 了 。 因 为 IPv6 已 决 
定 使 用 ISAKMP 与 Oakley 密 钥 交换 的 合并 协议 ,也 就 是 ISAKMP/Oakley(Internet key 
exchange，IKE)。 所 以 SKIP 并 非 IPSec 强制 规定 的 密 钥 管理 方法 。 


6. IKE 


它 被 选择 用 于 IPSec 的 默认 “自动 密 钥 管理 协议 ”是 Internet 密 钥 管 理 协 议 (Internet 
key management protocol, IKMP ), 现在 简称 为 Intetnet 密 钥 交换 (Internet key 
exchange,IKE)。IKE 将 认证 IPSec 中 所 涉及 的 每 一 个 对 等 实体 ,协商 安全 策略 ,并 处 理 
会 话 密 钥 交换 。IKE 是 一 种 混合 协议 ,是 ISAKMP 使 用 Oakley 的 一 些 模式 和 SKEME 
快速 rekey 的 观念 合并 而 成 ,以 一 种 安全 的 认证 方式 协商 并 派生 出 SA 的 密 钥 内 容 。 
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7. ISAKMP 


ISAKMP (Internet security association and key management protocol) 是 Internet 安 
全 联合 和 密 钥 管 理 协 议 。 它 为 认证 和 密 钥 交换 提供 了 一 个 框架 ,但 没有 定义 它们 。 
ISAKMP 被 设计 成 与 密 钥 交 换 无 关 。ISAKMP 有 两 个 操作 阶段 。 第 一 阶段 中 ,相关 的 
一 些 安全 属性 经 过 协商 ,并 产生 一 些 密 钥 。 这 些 内 容 构成 第 一 个 SA ,一 般 称 做 ISAKMP 
SA。 与 IPSec SA 不 一 样 的 是 它 是 双向 的 。 第 二 阶段 则 是 以 ISAKMP SA 的 安全 环境 来 
建立 AH 或 ESP 的 SA。 也 就 是 说 , 它 支持 许多 不 同 的 密 钥 交 换 。 


8. SKEMI 和 Oakley 


Internet 安全 密 钥 交换 机 制 (secure key exchange mechanism for Internet， 
SKEMD) , 它 描述 了 一 种 功能 多 样 的 密 钥 交换 技术 ,这 种 技术 提供 匿名 、 和 否认 性 和 快速 密 
钥 刷 新 功能 。Oakley 则 是 由 亚利桑那 大 学 所 提出 的 , 它 与 SKEME 有 相当 多 的 共同 部 
分 ,描述 了 一 系列 密 钥 交 换 ,并 详细 阐述 了 每 种 模式 所 提供 的 服务 。 

IKE 在 两 个 实体 间 建 立 一 个 认证 的 安全 通道 ,然后 为 IPSec 协商 安全 联合 。 当 协商 
了 有 关 属 性 (加 密 算法 及 认证 方法 等 ) 后 ,双方 都 需要 相互 进行 认证 。IKE 支持 多 种 认证 
方式 ,通常 会 使 用 以 下 机 制 。 

(1) 预 共 享 密 钥 。 把 同一 个 密 钥 预先 安装 在 每 一 台 主 机 上 。IKE 对 等 实体 通过 计算 
一 个 包含 预先 共享 密 钥 数据 的 加 密 散 列 值 来 相互 认证 。 如 果 接 收 实体 可 以 使 用 其 预先 
共享 密 钥 创建 相同 的 散 列 值 , 则 它 知 道 双 方 一 定 是 共享 相同 的 密 钥 ,从 而 验证 了 另 一 方 
的 身份 。 

(2) 公 角 加密。 每 一 方 生成 一 个 伪 随 机 数 ,使 用 另 一 方 的 公 钥 对 它 及 其 ID 加 密 。 每 
一 方 都 具有 计算 包含 其 他 对 等 实体 的 伪 随 机 数 和 ID 加 密 散 列 值 的 能 力 , 用 本 地 私 钥 解 


密 后 相互 验证 了 实体 的 身份 。 
(3) 数字 签名 。 每 个 设备 以 数字 形式 对 数 。 志 型 Ce = 一 一 
据 集 签 名 ,并 把 它 发 送 给 其 他 方 ,有 点 类 似 于 公 网 络 A 网 络 B 
钥 加 密 方法 ,但 它 提供 了 “不 可 否认 "功能 。 人 AE 
数字 签名 和 公 钥 加 密 方法 都 需要 使 用 数字 a 
证 书 来 证 实 公 钥 / 私 钥 映 射 。IKE 允许 独立 地 访 。 | IKE 第 二 阶段 
间 证 书 , 或 让 两 个 设备 显 式 地 交换 证 书 作 为 IKE 建立 AH 和 ESPSAs 
的 一 部 分 。 当 完成 IPSec SA 的 建立 后 ,就 可 以 人 


用 协商 得 到 的 IPSec 参数 进行 数据 交换 了 ， 
图 2-17 描述 了 IPSec 保护 数据 流 的 创建 的 过 程 。 图 2-17 建立 IPSec 数据 保护 


244 使 用 TCPIP 层 中 的 安全 性 
在 给 定 环境 中 所 使 用 的 安全 协议 取决 于 所 需要 的 安全 服务 以 及 需要 保护 的 应 用 。 
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应 用 层 安全 协议 的 优点 是 可 以 根据 应 用 的 活动 来 定义 特殊 的 安全 服务 。 如 对 于 Web ,可 
以 对 不 同 的 Web 页 采用 不 同 的 安全 措施 。 在 传输 层 安全 中 ,所 有 的 应 用 消息 都 必需 相 
同 处 理 。SSL 已 经 被 普遍 接受 ,并 且 被 大 量 部 署 在 WWW 环境 中 ;SSH 被 大 量 用 于 安全 
远程 登录 和 远程 文件 传送 中 。 通 过 使 用 IPSec 的 网 络 层 可 以 在 IP 层 上 定义 安全 服务 。 
具有 隐藏 传输 层 信息 的 优点 ,并 且 还 可 以 支持 除 TCP 外 的 其 他 传输 层 协 议 。 一 般 情况 
下 ,需要 组 合 使 用 安全 协议 ,其 中 大 多 数 环境 下 都 使 用 某 些 传输 层 协议 和 IPSec 的 组 合 。 

通过 上 述 对 目前 国内 外 安全 体系 结构 和 安全 标准 体系 的 研究 分 析 , 使 用 户 对 整个 安 
全 体系 结构 的 认识 进一步 加 深 和 清晰 化 。 网 络 安全 是 一 个 综合 多 交叉 的 学 科 领 域 ,涉及 
数学 .电子 .通信 、 计 算 机 等 学 科 。 由 于 Internet 的 迅速 发 展 , 对 于 网 络 系统 的 攻击 数量 
与 日 俱 增 ,更 多 的 人 都 意识 到 了 暗藏 在 身边 的 很 多 漏洞 。 本 章 分 析 了 网 络 安全 体系 的 发 
展 过 程 ,对 TCP/IP 协议 进行 了 初步 的 分 析 , 介 绍 了 由 于 网 络 体系 结构 的 弱点 而 造成 的 
一 些 网 络 安全 问题 ,并 指出 了 为 保证 一 定 程度 上 的 网 络 安 全 ,应 该 在 哪些 层次 上 采取 相 
应 的 措施 。 


习 是 2 


(1) 简 述 ISO 7498-2 网 络 安全 体系 结构 。 

(2) TCP/IP 协议 与 OSI 有 哪些 区 别 ? 详细 说 明 TCP/IP 协议 各 层 的 特点 与 应 用 。 
(3) 常见 的 TCP/IP 的 安全 问题 有 哪些 ? 如 何 改进 TCP/IP 的 安全 ? 

(4) 请 结合 一 个 防火 墙 产 品 的 实例 来 分 析 其 工作 原理 及 安全 体系 。 

(5) 如 何 理解 网 络 协议 安全 的 脆弱 性 ? 
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网 络 安全 策略 及 实施 


网 络 安全 是 一 个 系统 工程 ,用 户 需 要 对 网 络 所 面临 的 威胁 进行 风险 评估 ,决定 其 需 
要 的 安全 服务 种 类 ,并 选择 相应 的 安全 机 制 , 然 后 集成 先进 的 安全 技术 ,形成 一 个 全 方位 
的 安全 系统 。 在 实施 网 络 安全 的 过 程 中 ,不 仅 要 靠 先 进 的 技术 ,还 需要 严格 的 制度 管理 、 
法 律 约束 以 及 用 户 安全 教育 等 。 先 进 的 技术 是 网 络 安全 的 根本 保证 ,严格 的 安全 管理 是 
确保 安全 策略 落实 的 基础 。 各 网 络 使 用 机 构 应 建立 相应 的 网 络 安全 管理 办 法 ,强化 内 部 
管理 ,建立 合适 的 网 络 安全 管理 体系 ,加 强 用 户 管理 和 授权 管理 ,建立 安全 审计 和 跟踪 体 
系 , 以 此 提高 整体 网 络 安全 意识 。 此 外 还 需要 有 严格 的 法 律 .法规 来 保障 网 络 安全 。 由 
于 计算 机 网 络 发 展 迅 速 ,相关 的 法 律 法 规 比较 滞后 ,许多 行为 无 法 可 依 、 无 章 可 循 ,从 而 
导致 网 络 上 的 侵害 事件 不 断 增多 。 面 对 日 趋 严重 的 网 络 犯罪 ,必须 加 快 建立 与 完善 有 关 
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解决 网 络 安全 问题 ,技术 是 主体 ,管理 是 灵魂 。 只 有 将 有 效 的 安全 管理 自始至终 贯 
彻 落实 于 网 络 安全 体系 当中 ,网 络 安全 的 可 靠 性 ,长 期 性 和 稳定 性 才能 有 所 保证 。 而 要 
进行 有 效 的 网 络 安全 管理 ,必须 根据 需要 建立 起 一 套 科 学 的 .系统 全 面 的 网 络 安全 管理 
体系 , 即 网 络 安全 策略 。 安 全 策略 处 于 整个 网 络 安全 体系 的 核心 , 它 可 以 是 一 个 对 网 络 
系统 能 使 用 的 策略 ,也 可 以 是 相关 内 容 的 详细 文件 。 


31.1 安全 策略 的 定义 


网 络 安全 策略 可 以 简单 地 认为 是 一 个 对 网 络 相关 各 种 资源 进行 可 接受 使 用 的 策略 ， 
也 可 以 是 关于 连接 要 素 和 相关 内 容 的 详细 文件 。 根 据 RFC2196 的 定义 ,“ 安 全 策略 是 对 
访问 规则 的 正式 陈述 ,所 有 需要 访问 某 个 机 构 的 技术 和 信息 准 资产 的 人 员 都 应 该 遵守 这 
些 规则 ”"。 因 此 ,安全 策略 本 质 上 就 是 一 个 文件 ,该 文件 对 如 何 使 用 与 保护 计算 机 网 络 及 
其 资源 进行 了 概括 , 它 规定 了 网 络 安全 状态 的 一 个 基准 线 , 为 网 络 安 全 实施 设 定 了 一 个 
目标 框架 。 安 全 策略 为 实现 网 络 基 础 设施 的 安全 性 提供 安全 框架 ,详细 定义 了 用 户 允 许 
及 禁止 的 行为 ,确定 了 实施 网 络 安全 必要 的 工具 和 程序 ,对 网 络 安全 达成 一 致意 见 并 由 
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此 定义 各 种 角色 ,并 规定 了 发 生 网 络 安 全 事件 后 的 处 理 程 序 与 方法 ,必要 时 可 为 法 律 行 
为 提供 依据 。 

一 个 企 事业 单位 的 安全 策略 的 内 容 , 从 宏观 的 角度 反映 了 该 单位 整体 的 安全 思想 和 
观念 。 一 般 而 言 ,安全 策略 需要 由 高 级 管理 部 门 负责 制定 ,来 确保 网 络 系统 运行 在 一 种 
合理 的 安全 状态 下 , 既 能 满足 安全 需要 ,又 不 得 妨碍 员工 和 其 他 用 户 从 事 正常 的 工作 。 
这 种 安全 策略 对 于 网 络 安全 体系 的 建设 和 管理 起 着 举足轻重 的 作用 。 所 有 网 络 安全 建 
设 的 工作 其 实 都 是 围绕 安全 策略 展开 的 , 它 是 制定 具体 策略 规划 的 基础 ,并 为 所 有 其 他 
安全 策略 标明 应 该 遵循 的 指导 方针 。 而 这 些 具体 的 策略 内 容 则 可 以 通过 安全 标准 、 安 全 
方针 、 安 全 措施 等 来 实现 。 安 全 策略 是 整个 安全 体系 的 基础 ,而 安全 标准 、 安 全 方针 、 安 
全 措施 是 安全 体系 的 框架 ,在 这 个 安全 框架 中 使 用 必要 的 安全 组 件 .安全 机 制 等 提供 全 
面 的 安全 规划 和 安全 架构 。 其 中 安全 标准 是 强制 性 执行 的 , 它 规定 了 硬件 .软件 产 品 应 
当 如 何 使 用 ,并 提供 方法 手段 来 保证 网 络 中 应 用 程序 .特定 技术 等 以 规定 的 方式 执行 。 
而 安全 方针 则 指出 了 当 安 全 标准 中 未 对 不 可 预料 的 情形 定义 时 的 补充 规定 。 安 全 措施 
则 指出 了 在 操作 环境 中 安全 策略 .安全 标准 、 安 全 方针 的 具体 的 实现 步骤 。 


312 安全 策略 的 内 容 


安全 策略 的 目标 是 让 用 户 和 管理 层 等 能 够 意识 到 各 自在 保护 组 织 技术 和 信息 资产 
方面 的 责任 。 它 需要 阐述 一 种 机 制 ,使 每 一 个 成 员 都 面 对 同 样 的 规则 ,以 便于 每 个 成 员 
都 能 明白 自己 在 保护 网 络 和 信息 安全 方面 的 责任 ,理解 自己 在 网 络 中 能 够 做 什么 以 及 不 
可 以 做 什么 。 所 以 安全 策略 应 当 尽 可 能 明确 清晰 ,避免 出 现 容易 使 人 误解 的 内 容 , 从 而 
对 网 络 安全 造成 隐患 。 一 个 好 的 安全 策略 ,涉及 的 内 容 相当 广泛 ,但 总 体 而 言 ,应 当 具 备 
如 下 一 些 关 键 内 容 。 

(1) 权威 的 声明 和 效力 范围 : 用 以 识别 安全 策略 的 发 起 者 和 覆盖 的 主题 范围 。 

(2) 物理 安全 策略 包括 环境 安全 .设备 安全 ,媒体 安 全、 信息 资产 的 物理 分 布 . 人 员 的 
访问 控制 审计 记录 .异常 情况 的 追查 等 。 

(3) 网 络 安全 策略 包括 网 络 拓扑 结构 .网络 设备 的 管理 ,网 络 安全 访问 措施 (防火 墙 、 
入侵 检测 系统 `VPN 等 ) ,安全 扫描 、 远 程 访问 、 不 同 级 别 网 络 的 访问 控制 方式 识别 / 认 
证 机 制 等 。 它 规定 了 组 织 内 部 用 户 关 于 网 络 访问 能 力 的 规范 。 

(4) 数据 加 密 策 略 包括 加 密 算法 .适用 范围 . 密 钥 交换 和 管理 等 。 

(5) 数据 备份 策略 包括 适用 范围 .备份 方式 、 备 份 频率 ,备份 数据 的 安全 存储 、 负 责 
人 等 。 

(6) 病毒 防护 策略 包括 防 病毒 软件 的 安装 、 配 置 、 对 软盘 使 用 、 网 络 下 载 等 做 出 的 规 
定 等 。 

(7) 应 用 系统 安全 策略 包括 WWW 访问 策略 、 内 部 邮件 与 外 部 邮件 的 访问 策略 , 数 
据 库 系统 安全 策略 、 应 用 服务 器 系统 安全 策略 、 个 人 桌面 系统 安全 策略 、 其 他 业务 相关 系 
统 安全 策略 等 。 

(8) 身份 识别 与 认证 策略 : 用 来 规定 用 什么 样 的 技术 和 设备 来 确保 只 有 授权 的 用 户 
才能 访问 组 织 的 信息 与 数据 ,包括 认证 及 授权 机 制 . 方 式 、 审 计 记 录 等 。 
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(9) 灾难 恢复 与 应 急 响应 策略 : 用 来 规定 如 何 建立 安全 事件 响应 小 组 ,如 何 针对 突 
发 事件 采取 的 响应 措施 ,包括 响应 小 组 、 联 系 方式 .事故 处 理 计 划 、 控 制 过 程 、 恢 复 机 制 、 
方式 .归档 管理 .硬件 .软件 等 。 主 要 工作 有 保护 机 构 的 系统 与 信息 ,还 原 操作 ,起 诉 入侵 
者 ,减少 损失 等 。 

(10) 密码 管理 策略 包括 密码 管理 方式 、 密 码 设置 规则 、 密 码 适应 规则 等 。 

(11) 补丁 管理 策略 包括 软件 升级 .系统 补丁 的 更 新 .测试 .安装 等 。 

(12) 系统 变更 控制 策略 包括 对 设备 更 新 .软件 配置 .控制 措施 .数据 变更 管理 、 一 至 
(13) 商业 伙伴 、 客 户 关系 策略 包括 合同 条 款 安 全 策略 .客户 服务 安全 建议 等 。 

(14) 复查 审计 策略 包括 对 安全 策略 的 定期 复查 与 审计 。 

(15) 安全 教育 策略 包括 安全 策略 的 发 布 宣 传 . 执 行 效果 的 监督 安全 技能 的 培训 、 安 
全 意识 教育 等 。 

(16) 对 安全 控制 及 过 程 的 重新 评估 、 对 系统 日 志 记 录 的 审计 、 对 安全 技术 发 展 的 跟 

网 络 安全 策略 的 内 容 一 般 是 由 以 上 一 系列 安全 策略 文件 所 涵盖 的 ,文件 的 繁 简 程 度 

与 网 络 的 规模 及 应 用 有 关 , 其 中 部 分 内 容 是 多 数 网 络 安全 都 需要 且 应 该 制定 并 执行 的 。 
这 些 安全 策略 文件 的 内 容 应 当 遵守 相关 的 法 律 法 规 ,在 对 网 络 及 其 信息 资源 进行 保护 的 
同时 ,也 要 注意 对 工作 人 员 的 隐私 保护 。 


313 网 络 安全 模型 


在 建立 合适 的 安全 策略 之 后 ,必须 从 方法 上 考虑 把 安全 策略 作为 正常 网 络 操作 中 的 
一 部 分 ,并 把 这 种 描述 转化 为 具体 的 操作 ,如 对 路 由 器 进行 配置 ,安装 防火 墙 ,配置 人 侵 
检测 系统 ,开发 认证 服务 器 和 加 密 的 VPN 等 。 当 开发 
并 制定 了 安全 策略 后 ,就 可 以 选用 各 种 产品 ,采用 各 种 改进 保护 
技术 方法 来 进行 具体 的 实施 。 但 在 此 之 前 ,还 需要 全 面 Ne A 

了 解 用 户 需求 .需要 保护 的 内 容 以 及 网 络 拓扑 结构 。 开 

发 并 保护 网 络 的 过 程 可 以 采用 图 3-1 来 说 明 , 这 个 被 称 袜 全 全 了 


为 网 络 安全 模型 放 N 
从 网 络 安全 模型 图 上 可 以 看 出 ,安全 策略 处 于 网 络 。 、 

安全 模型 的 核心 , 它 规定 了 网 络 系统 中 的 各 个 实体 在 安 

全 方面 的 技术 要 求 , 并 定义 了 网 络 系统 及 管理 员 应 该 如 图 3.1 网 络 安全 模型 

何 配置 系统 的 安全 性 。 由 于 这 种 配置 还 会 影响 用 户 ,所 

以 还 需要 针对 策略 中 声明 的 某 些 要 求 , 要 求 管理 员 与 用 户 进行 沟通 ,再 根据 用 户 的 需求 

修改 安全 策略 。 在 这 个 网 络 安全 模型 中 ,一 共 分 为 四 个 阶段 ,每 个 阶段 的 侧重 点 都 不 同 ， 

但 是 所 有 的 工作 都 围绕 着 安全 策略 来 进行 的 ,下 面 对 各 个 阶段 详细 说 明 。 


#@: 网 络 安全 策略 及 实施 。 61T 


1. 保护 阶段 


在 保护 阶段 ,由 负责 组 织 安全 的 人 员 或 部 门 实施 安全 解决 方案 以 阻止 或 预防 非 授 权 
访问 ,可 采用 的 方法 包括 。 

(1) 身份 认证 和 验证 。 这 种 方法 规定 了 系统 用 户 和 管理 员 的 主要 认证 机 制 ,对 每 个 
用 户 身份 位置 和 确切 登录 时 间 的 识别 与 映射 ,规定 了 密码 的 最 小 长 度 、 密 码 的 最 长 和 最 
短 使 用 期 限 以 及 对 密码 内 容 的 要 求 等 。 身 份 认 证 一 般 和 网 络 服务 授权 关联 在 一 起 。 

(2) 访问 控制 。 主 要 指 对 文件 实施 的 访问 控制 标准 要 求 ,一般 需 要 指定 两 项 要 求 ， 
是 机 制 和 文件 的 默认 要 求 , 对 于 计算 机 系统 中 的 每 个 文件 都 应 该 有 用 户 的 访问 控制 措 
施 。 该 机 制 应 该 与 认证 机 制 配合 工作 ,以 确保 只 有 授权 用 户 才 能 访问 文件 。 二 是 机 制 本 
身 至 少 应 该 指定 哪些 用 户 可 以 对 文件 拥有 读 、 写 和 执行 的 权限 。 

(3) 数据 加 密 。 这 是 一 种 确保 网 络 数据 通信 和 的 保密 性 ,完整 性 和 真实 性 的 方法 。 规 
定 在 机 构 中 使 用 的 加 密 方法 ,可 用 的 加 密 方法 很 多 ,包括 DES、3DES 和 AES 等 。 对 于 安 
全 策略 而 言 , 没 有 理由 规定 只 采用 一 种 算法 。 当 然 ,这 里 还 需要 规定 密 钥 管理 所 需要 的 
相关 程序 。 

(4) 防火 墙 。 防火墙 可 以 是 置 于 网 络 上 的 一 套 关联 设备 ,用 它 来 保护 私有 网 络 的 资 
源 ,使 其 免 遭 外 网 用 户 访问 。 防 火 墙 也 可 能 是 一 个 或 多 个 独立 设备 ,甚至 可 以 在 大 多 数 
路 由 器 上 配置 而 成 。 从 防火 墙 技术 诞生 以 来 , 它 作为 一 种 有 效 的 访问 控制 设备 ,在 防范 
网 络 入 侵 和 恶意 行为 方面 起 到 了 关键 作用 。 

(5) 漏洞 补丁 。 这 种 方法 规定 安全 程序 应 该 在 何 处 查找 恶意 代码 ,可 以 保证 识别 并 
弥补 可 能 的 安全 漏洞 。 这 些 漏洞 可 能 会 让 网 络 失控 ,导致 信息 被 随意 使 用 。 安 全 策略 应 
该 规定 这 种 安全 程序 的 要 求 , 可 以 包括 这 种 安全 程序 要 检查 的 特定 文件 类 型 ,以 及 当 文 
件 打开 时 检查 文件 或 按 计 划 检 查 文件 这 类 要 求 。 


2. 监视 阶段 


绕 着 安全 策略 ,在 实现 了 网 络 系统 的 安全 技术 措施 后 , 接 下 来 必须 对 网 络 系统 进 
行 监控 ,确保 安全 状态 能 够 保持 ,对 于 所 部 署 的 这 些 安全 系统 需要 加 以 更 频繁 的 注意 。 
如 果 不 对 网 络 进行 安全 监控 , 则 在 上 一 步 所 实施 的 这 些 安全 措施 就 没有 实际 意义 了 ,所 
以 在 这 个 阶段 ,系统 管理 员 需 要 通过 利用 网 络 漏洞 扫描 器 ,定期 对 网 络 进行 扫描 监控 ,以 
便 可 以 预先 识别 漏洞 区 域 , 进 行 漏洞 的 修补 。 还 可 以 通过 IDS 系统 ,对 正在 发 生 的 安全 
事件 进行 监视 并 响应 。 经 过 这 个 阶段 ,就 能 对 当前 网 络 上 传输 的 数据 流 有 一 个 清晰 的 判 
断 , 使 对 当前 网 络 的 认 知 达到 一 个 新 的 状态 。 


3. 测试 阶段 


监视 阶段 之 后 是 测试 过 程 ,对 网 络 系统 安全 进行 测试 与 进行 安全 监视 一 样 重要 。 没 
有 测试 ,就 不 能 知道 现 有 的 和 最 新 的 攻击 方式 ,就 无 法 模拟 受到 安全 侵害 后 的 及 时 响应 。 
由 于 入 侵 者 是 一 个 不 断 变化 的 ,具有 高 度 技术 能 力 的 群体 ,如 果 单 靠 用 户 来 进行 测试 ,会 
具有 相当 的 难度 ,而 且 实施 的 成 本 较 高 ,需要 高 度 的 技术 支撑 。 如 果 用 户 没 有 这 种 技术 
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体系 来 支持 ,最 好 能 委托 第 三 方 的 专业 队伍 来 对 系统 进行 全 面 的 安全 测试 ,选择 那些 可 
提供 实际 数据 进行 分 析 , 以 提供 给 用 户 相 对 完整 的 测试 报告 与 安全 建议 。 


4. 改进 过 程 


用 户 应 该 利用 监视 和 测试 阶段 得 来 的 数据 去 改进 安全 措施 ,并 根据 识别 的 漏洞 和 风 
险 对 安全 策略 加 以 调整 。 系 统 改 进 可 确保 得 到 最 新 的 安全 修复 。 由 于 网 络 安 全 不 是 一 
个 静态 的 过 程 ,经 过 网 络 安全 改进 阶段 后 ,系统 又 重新 进入 了 新 的 保护 阶段 。 

通过 网 络 安全 模型 ,可 以 看 出 网 络 安全 是 一 个 围绕 安全 策略 而 开展 的 持续 不 断 的 过 
程 。 一 个 完善 的 网 络 安全 策略 需要 经 过 多 次 修改 进行 逐步 完善 ,而 不 是 一 个 一 劳 安 逸 的 
过 程 。 不 过 ,安全 策略 本 身 不 用 为 不 同 的 操作 系统 或 应 用 规定 专门 的 配置 方法 ,这 项 工 
作 应 该 由 特定 的 配置 过 程 去 完成 。 对 于 特定 的 这 种 配置 过 程 及 内 容 可 以 被 安排 在 安全 
策略 的 附件 中 ,而 不 是 在 策略 本 身 中 。 安 全 策略 并 不 是 一 个 系统 的 具体 的 操作 手册 , 具 
体 的 实施 方案 与 内 容 应 由 更 具体 的 文件 来 规定 。 


32 网 络 安 全 策略 役 科 与 袖 郊 


安全 策略 的 制定 是 比较 烦琐 和 复杂 的 工作 ,许多 安全 策略 将 重点 放 在 了 有 效 实施 的 
概念 上 ,这 种 观点 的 出 发 点 在 于 ,如 果 策 略 无 法 得 到 实施 ,那么 制定 的 策略 再 好 也 没有 可 
用 之 处 。 从 安全 系统 的 设计 人 员 的 角度 看 ,重要 的 是 理解 实施 策略 有 若干 不 同 的 方式 ， 
而 具体 的 实施 过 程 并 不 属于 安全 系统 的 设计 人 员 的 考虑 范围 。 所 以 ,由 于 用 户 对 网 络 的 
具体 需求 不 同 , 可 能 会 包含 不 同 的 设计 与 实施 要 求 。 根 据 前 面 讨论 的 安全 策略 的 相关 内 
容 ,从 大 的 方面 来 说 ,一 般 需要 包括 物理 安全 控制 .逻辑 安全 控制 .基础 设备 和 数据 完整 
性 ,数据 保密 性 ,用户 行为 控制 以 及 安全 意识 培养 等 几 个 部 分 。 


321 物理 安全 控制 


物理 安全 控制 是 指 对 物理 基础 设施 .物理 设备 的 安全 和 访问 的 控制 。 对 于 网 络 而 
言 , 这 部 分 相对 变化 较 少 ,是 最 容易 被 管理 员 忽 略 的 。 对 于 网 络 系统 ,如 果 为 了 适应 已 经 
变化 的 环境 而 正在 创建 或 修改 安全 策略 ,就 有 必要 根据 安全 需求 更 改 物 理 基 础 设施 ,或 
改变 某 些 关键 设备 的 物理 位 置 , 以 使 安全 策略 更 容易 实施 。 如 果 已 经 将 物理 安全 控制 与 
安全 策略 相 结合 ,那么 当 用户 需 要 扩充 和 增加 新 的 应 用 时 ,也 应 该 在 创建 新 的 应 用 的 同 
时 考虑 网 络 的 物理 安全 控制 。 

物理 网 络 基 础 设施 包括 选择 适当 的 介质 类 型 及 电缆 的 铺设 路 线 ,其 目的 是 要 确保 人 
侵 者 无 法 窃听 网 络 上 传输 的 数据 ,并 且 保证 所 有 关键 系统 具备 高 度 可 用 性 。 从 安全 角度 
看 ,由 于 光纤 对 于 防止 传统 的 网 络 窃听 很 有 效果 ,在 工程 上 得 到 了 大 量 应 用 。 而 对 于 双 
绞 线 和 同 轴 电 缆 , 利 用 一 些 工 具 就 可 以 方便 进行 信号 窃听 。 然 而 ,以 目前 这 种 网 络 环境 
而 言 , 已 经 很 少 出 现 对 线路 物理 上 进行 分 隔 与 窃听 的 行为 了 。 在 大 多 数 的 情况 下 ,入 侵 
者 只 需 找到 一 台 联 网 的 已 授权 的 计算 机 ,就 可 以 方便 地 对 网 络 资源 进行 非法 的 享用 了 。 


#@: 网 络 安全 策略 及 实施 。 63 


所 以 对 网 络 设计 而 言 ,在 物理 安全 控制 上 需要 更 多 考虑 的 是 网 络 拓扑 结构 ,其 中 还 涉及 
网 络 及 其 附属 设备 的 可 用 性 以 及 网 络 基础 设施 的 可 靠 性 和 安全 性 。 设 计 出 优秀 的 网 络 
拓扑 结构 ,对 于 降低 安全 风险 有 重要 作用 ,如 单 点 的 故障 ,突然 停机 等 ,一 个 好 的 网 络 拓 
扑 可 以 有 效 遏 制 安全 事故 。 

此 外 ,网 络 资源 的 存放 位 置 也 极为 重要 ,所 有 网 络 设施 都 应 该 放置 在 严格 限制 来 访 
人 员 的 地 方 ,以 降低 出 现 非法 访问 的 可 能 性 。 特 别 是 涉及 核心 任务 与 机 密 信息 的 一 些 设 
备 ,这 些 基 础 设备 包括 交换 机 、 路 由 器 、 防 火 墙 以 及 提供 各 种 网 络 应 用 与 服务 的 服务 器 。 
对 于 这 些 设备 ,在 制定 安全 策略 的 时 候 ,要 考虑 对 设备 区 域 的 授权 访问 。 不 但 要 保证 物 
理 安全 策略 的 可 强制 执行 ,还 需要 确保 员工 的 工作 地 点 不 与 访问 限制 冲突 。 为 保护 关键 
的 网 络 资源 ,必须 安装 和 充分 的 使 用 环境 安全 防护 。 系 统 越 关键 ,需要 设置 的 安全 防护 
就 越 多 ,应 不 惜 任何 代价 确保 资源 可 用 ,包括 环境 安全 保护 (如 火灾 水灾 的 预防 、 检 测 和 
保护 ) ,温度 与 湿度 的 控制 ,保护 不 受 自然 灾害 及 过 量 磁场 的 干扰 等 。 


322 逻辑 安全 控制 


逻辑 安全 控制 是 指 在 不 同 网 段 之 间 构 造 逻 辑 边 界 , 同 时 还 对 不 同 网 段 之 间 的 数据 流 
量 进行 控制 。 人 逻辑 访问 控制 通过 对 不 同 网 段 间 的 通信 进行 逻辑 过 滤 来 提供 安全 保障 。 
对 内 部 网 络 进行 子 网 划分 是 进行 逻辑 安全 控制 的 有 效 方 法 。 由 于 子 网 由 本 地 负责 管理 ， 
从 网 络 外 部 看 到 的 是 一 个 单独 的 大 网 络 , 入 侵 者 对 其 内 部 子 网 的 划分 没有 太 详 细 的 了 
解 。 但 事实 上 ,在 网 络 内 部 ,每 个 子 网 都 按照 实际 的 物理 布线 组 成 各 自 的 LAN。 根 据 网 
络 如 何 使 用 子 网 来 进行 逻辑 划分 ,以 及 这 些 子 网 之 间 的 通信 如 何 进 行 控制 ,就 可 以 大 臻 
判定 网 络 的 逻辑 设施 。 一 般 是 由 三 层 交 换 机 (路 由 选择 ) 来 决定 如 何 从 不 同 的 网 络 上 访 
问 数据 ,虚拟 局 域 网 (VLAN) 也 能 够 修改 传统 的 物理 边界 。 

路 由 策略 是 安全 策略 的 重要 组 成 成 分 ,安全 策略 中 可 以 体现 详细 的 路 由 安全 策略 。 
在 路 由 策略 中 ,通常 根据 实际 的 需要 来 发 布 和 接收 被 分 隔 开 的 网 络 和 子 网 的 路 由 。 如 果 
不 考虑 所 用 的 路 由 协议 ,大 多 数 路 由 器 都 禁止 发 布 特定 的 路 由 ,并 将 接收 到 的 这 类 路 由 
忽略 ,不 将 它们 放 到 路 由 地 址 表 中 。 实 现 这 一 目的 的 方法 通常 很 多 ,最 好 是 先 设计 人 逻辑 
边界 ,确定 环境 所 需要 的 开放 或 封闭 程度 ,然后 再 执行 相应 的 路 由 策略 。 

VLAN 用 于 将 相关 的 单个 用 户 组 织 成 新 的 组 ,并 不 考虑 用 户主 机 到 网 络 的 实际 物理 
连接 , 它 是 一 种 逻辑 上 的 连接 。 这 些 相 关 用 户 可 以 分 布 在 内 部 网 络 的 不 同 网 段 上 ,甚至 
也 可 以 分 布 在 各 地 。 用 户 分 组 的 策略 很 多 ,如 可 以 根据 用 户 所 在 部 门 或 工作 组 来 划分 。 
分 组 的 方法 一 般 是 要 将 用 户 划 分 到 不 同 的 VLAN 中 ,这 样 大 多 数 的 用 户 通信 量 将 在 
VLAN 内 部 进行 。 如 果 一 个 VLAN 中 不 包括 任何 的 路 由 器 信息 , 则 该 VLAN 用 户 只 能 
在 本 VLAN 间 通 信 ,而 不 能 与 本 VLAN 外 的 其 他 VLAN 用 户 通 信 。 一 般 情况 下 ,一 个 
VLAN 可 以 对 应 一 个 特殊 的 子 网 ,由 于 VLAN 可 以 把 位 于 不 同 网 段 的 网 络 终端 归 类 成 
组 ,所 以 必须 保证 VLAN 的 边界 易于 理解 和 配置 。 

由 于 逻辑 安全 不 如 物理 边界 那么 安全 ,所 以 必需 完全 理解 数据 从 一 点 传输 到 另 一 点 
的 详细 路 径 。 尽 管 在 不 同 的 子 网 之 间 通 常 存在 逻辑 边界 ,但 路 由 策略 和 VLAN 的 不 当 
使 用 常常 会 使 逻辑 通信 变 得 混乱 。 而 且 在 进行 逻辑 控制 过 程 中 ,由 于 很 容易 实现 IP 其 
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骗 攻 击 , 因 此 ,采用 某 种 过 滤 方 式 最 好 与 其 他 安全 措施 结合 使 用 。 检 测 网 络 上 非 授 权 通 
信 的 唯一 方法 是 采用 数据 包 分 析 仪 或 人 侵 检测 系统 (IDS) ,如 果 可 能 尽量 在 关键 的 网 络 
访问 点 上 安装 和 人 侵 检测 系统 。 

对 于 设备 和 网 段 的 访问 必须 明确 限制 到 需要 访问 的 个 人 ,为 此 需要 执行 两 类 控制 。 
一 是 预防 性 控制 ,用 于 识别 每 个 授权 用 户 并 拒绝 非 授 权 用 户 的 访问 。 二 是 探测 性 控制 ， 
用 于 记录 和 报告 授权 用 户 的 行为 ,以 及 记录 和 报告 非 授权 的 访问 ,或 者 对 系统 、 程 序 和 数 
据 的 访问 企图 。 这 就 要 求 必须 遵守 正确 的 技术 方案 ,尽量 在 实际 使 用 中 让 用 户 身份 验证 
方法 和 可 对 系统 提供 足够 安全 的 方法 之 间 取得 平衡 。 


323 基础 设施 和 数据 完整 性 


在 网 络 基础 设施 中 ,必须 尽力 保证 网 络 上 所 有 通信 都 是 有 效 通 信 。 为 保证 网 络 间 的 
通信 ,当前 常见 的 安全 防护 系统 包括 防火 墙 \ 入 侵 检 测 系统 、 漏 洞 扫 描 系统 、 安 全 审计 系 


1. 防火 墙 


防火 墙 通常 被 用 来 进行 网 络 安全 边界 的 防护 。 事 实证 明 , 在 内 网 中 不 同安 全 级 别 的 
安全 域 之 间 采 用 防火 墙 进行 安全 防护 ,不 但 能 保证 各 安全 域 之 间 相 对 安全 ,同时 对 于 网 
络 日 常 运行 中 各 安全 域 中 访问 权限 的 调整 也 提供 了 便利 条 件 。 


2. 入 侵 检 测 系统 


入 侵 检测 系统 在 网 络 中 的 部 署 很 大 程度 上 弥补 了 防火 墙 防 外 不 防 内 的 特性 ,同时 对 
网 络 内 部 的 信息 做 到 了 实时 的 监控 和 预警 。 入 侵 检测 系统 与 防火 墙 的 联动 给 内 部 网 络 
中 重要 的 网 络 资源 打造 了 一 个 动态 的 实时 防护 屏障 。 


3. 安全 审计 系统 


利用 安全 审计 系统 的 记录 功能 ,对 网 络 中 出 现 的 操作 和 数据 等 做 详细 的 记录 ,为 事 
后 攻击 事件 的 分 析 提 供 有 力 的 原始 依据 。 


4. 病毒 防护 系统 


利用 网 关 型 防 病毒 系统 可 将 病毒 尽 最 大 可 能 的 拦截 在 网 络 外 部 ,同时 在 网 络 内 部 采 
用 全 方位 的 网 络 防 病毒 客户 端 进行 全 网 的 病毒 防护 。 针 对 服务 器 采用 专 有 的 服务 器 防 
病毒 客户 端 ,同时 保证 全 网 病毒 防护 系统 做 到 统一 管理 和 统一 的 病毒 防护 策略 。 

如 何 保证 有 效 通 信 , 对 于 网 络 服 务 和 协议 的 选择 是 一 项 复杂 而 艰巨 的 任务 。 一 个 简 
单 的 方法 就 是 先 允 许 所 有 类 型 的 服务 和 协议 ,然后 再 按 需 要 把 某 些 类 型 取消 。 这 种 处 理 
方法 实施 起 来 比较 方便 ,因为 所 需要 做 的 只 是 启动 所 有 服务 并 允许 其 在 网 络 中 通行 , 当 
出 现 安全 漏洞 时 ,就 在 主机 或 网 络 层次 上 限制 出 现 漏洞 的 服务 或 为 服务 添加 补丁 。 当 
然 ,从 安全 的 角度 讲 , 另 一 种 更 安全 的 方法 是 先 拒绝 所 有 类 型 的 服务 和 协议 ,然后 按照 具 
体 要 求 开 放 所 需 的 服务 。 这 需要 对 各 类 协议 与 服务 有 很 清晰 的 理解 ,才能 更 好 地 分 析 判 
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断 哪些 协议 或 服务 是 用 户 所 需 的 ,并 根据 网 络 应 用 的 要 求 ,制定 出 与 开放 相 适 应 的 安全 
机 制 。 

为 了 确保 数据 完整 性 ,对 于 大 多 数 跨 网 段 的 通信 需要 进行 验证 ,同时 为 了 确保 网 络 
基础 设施 的 完整 性 ,对 安全 基础 设施 进行 操作 的 通信 也 应 该 通过 验证 。 例 如 ,路 由 表 的 
更 新 等 。 如 果 不 对 这 种 信息 更 新 进行 验证 ,未 授权 的 或 者 恶意 的 路 由 更 新 消息 就 会 危及 
网 络 通信 的 安全 。 在 实际 应 用 过 程 中 , 常 采用 校 验 和 的 方式 来 验证 路 由 更 新 消息 ,以 保 
证 路 由 的 安全 。 


324 数据 保密 性 


数据 保密 性 是 指 保 证 网 络 实体 间 通 信 数 据 的 保密 ,使 其 不 能 被 非法 修改 , 它 属于 加 
密 的 范畴 。 在 加 密 技术 中 ,最 困难 的 部 分 是 确定 哪些 数据 需要 加 密 , 以 及 哪些 数据 不 需 
要 加 密 。 这 个 过 程 应 该 使 用 风险 分 析 步 又 来 进行 决策 。 在 风险 分 析 中 ,可 以 将 不 同人 敏感 
程度 的 数据 进行 分 类 ,对 于 不 同 的 类 别 要 求 制定 相应 的 数据 保密 措施 。 在 一 个 网 络 基础 
设施 内 ,是 否 需 要 加 密 通信 在 很 大 程度 上 取决 于 信息 的 敏感 程度 和 数据 被 窃取 的 可 能 
性 。 在 许多 环境 下 ,敏感 数据 的 加 密 多 数 发 生 在 接 人 访问 点 和 Internet 访问 点 之 间 。 而 
在 网 络 基础 设施 中 ,特别 是 在 访问 设备 信息 时 ,机 密 性 也 是 十 分 重要 的 。 设 备 之 间 的 通 
信 主 要 有 Telnet 会 话 、TFTP 下 载 配 置 .SNMP 与 网 络 设备 间 的 通信 以 及 对 设备 信息 的 
HTTP 访问 等 。 图 3-2 显示 了 一 些 基 础 设施 可 能 需要 加 密 的 通信 ,可 以 利用 SSH 和 
IPSec 等 来 提供 这 些 支 持 ,具体 选择 哪 种 技术 主要 取决 于 各 种 产品 是 否 支 持 这 项 技术 。 


经 过 验证 和 
加 密 的 Telnet 


交换 机 
“ 经 过 验证 和 
加 密 的 HTTP 
经 过 验证 和 加 密 
的 SMTP/TFTP | 


Web 网 管 机 


SMIP/TFTP 
服务 器 


3-2 基础 设施 的 安全 通信 


325 人 员 角 色 与 行为 规则 


人 员 角 色 管 理 是 整个 网 络 安全 的 重要 组 成 部 分 ,网 络 中 所 有 的 软 硬 件 系统 、 安 全 策 
略 等 最 终 都 需要 人 来 实践 ,所 以 对 人 员 角 色 的 定义 及 行为 规则 的 制定 是 非常 重要 的 。 应 
当 根 据 网 络 安全 策略 来 为 负责 网 络 基础 设施 维护 和 升级 的 人 员 制 定 特殊 的 指导 方针 ,以 
帮助 完成 各 自 的 任务 ,这 些 任 务 主要 包括 安全 备份 和 审计 跟踪 的 工作 等 。 
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1. 安全 备份 


创建 备份 的 过 程 是 运行 计算 机 网 络 环境 的 一 个 完整 部 分 ,对 于 网 络 基础 设施 框架 ， 
提供 网 络 应 用 服务 的 服务 器 的 备份 以 及 网 络 基础 设施 设备 配置 和 映射 的 备份 都 是 很 重 
要 的 。 备 份 策略 包括 确保 用 户 已 经 对 所 有 网 络 基础 设施 设备 的 配置 和 软件 映射 进行 了 
备份 ,确保 用 户 已 经 对 所 有 提供 网 络 服 务 的 服务 器 进行 了 备份 ,确保 用 户 的 备份 文件 不 
被 存储 在 同一 个 存储 点 上 。 管 理 员 应 该 认真 选择 数据 存储 点 ,不 但 需要 考虑 其 安全 性 和 
可 用 性 ,还 需要 考虑 为 备份 文件 加 密 , 使 备份 信息 一 离开 原点 就 得 到 额外 的 保护 。 需 要 
注意 的 是 ,用 户 还 应 该 有 良好 的 密 钥 管理 体制 ,这样 才能 够 在 需要 时 恢复 数据 。 此 外 ,还 
要 确保 在 将 来 需要 解密 时 能 访问 必要 的 解密 程序 。 不 要 总 是 设想 自己 的 备份 是 完好 的 ， 
需要 定期 验证 备份 文件 的 正确 性 和 完整 性 ,并 保持 原件 的 数据 、 程 序 和 备份 的 安全 。 将 
备份 件 与 原件 分 开 进行 异地 保存 是 一 个 十 分 重要 的 方法 ,这 样 做 不 仅 考虑 到 了 数据 损害 
问题 ,同时 还 可 以 防止 失窃 。 另 外 ,用 于 记录 和 存储 这 些 敏 感 软 件 或 数据 的 介质 ,在 不 用 
时 也 应 该 加 以 识别 与 保护 。 


2. 审计 跟踪 


对 通信 方式 以 及 所 有 非法 行为 进行 记录 ,以 及 对 用 户 名 、 主 机 名 、IP 源 地 址 .目的 地 
址 端口 号 和 时 间 戳 进行 记录 ,并 对 这 些 数据 进行 分 析 ,. 有 可 能 会 发 现 安全 被 突破 的 第 一 
条 线索 。 管 理 员 根据 数据 的 重要 性 ,可 以 将 其 保存 在 资源 本 地 ,直到 它 被 需要 或 在 每 个 
事件 后 被 转 存 为 止 。 由 于 审计 数据 可 能 是 站 点 上 和 备份 文件 中 一 些 最 需要 认真 保护 的 
数据 ,如 果 入 侵 者 能 够 侵入 到 审计 记录 ,系统 将 会 受到 重要 的 安全 威胁 ,所 以 有 可 能 的 话 
也 需要 将 这 些 审计 记录 进行 有 效 的 备份 。 此 外 ,审计 数据 也 可 以 成 为 有 法 律 效力 的 数 
据 , 成 为 跟踪 入 侵 者 以 及 证 明 其 人 侵 行 为 的 有 效 证 据 , 所 以 对 审计 数据 应 小 心 谨慎 处 理 ， 
以 避免 因为 没有 适当 处 理 而 造成 严重 后 果 。 
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通过 上 面 讲述 的 有 关 网 络 安全 策略 的 制定 与 实施 ,可 以 利用 一 个 模拟 的 局 域 网 络 编 
写 一 个 简单 的 安全 策略 作为 例子 ,为 了 方便 理解 与 讲述 , 仅 做 简单 描述 ,更 为 详细 与 具体 
的 内 容 没有 列 出 。 由 于 网 络 的 重要 性 .应 用 和 规模 等 都 存在 差异 ,安全 策略 并 不 是 一 成 
不 变 , 用 户 必需 根据 实际 情况 ,对 安全 策略 进行 必要 的 增添 .删除 与 修改 。 

这 是 一 个 较 小 的 局 域 网 络 , 其 拓扑 结构 如 图 3-3 所 示 。 


1. 物理 安全 


(1) 所 有 建筑 内 的 网 络 设备 间 必 须 按照 相关 的 防火 和 安全 标准 构建 。 

(2) 所 有 设备 间 必 须 进 行 保护 ,安装 防盗 门 ,防止 受到 潜在 的 人 为 破坏 或 自然 灾害 
损坏 。 

(3) 所 有 网 络 基 础 设备 必须 安装 元 余 电源 ,防止 由 于 电源 故障 而 引起 网 络 中 关键 应 
用 的 中 断 。 
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财务 教务 
服务 器 服务 器 


3-3 一 个 校园 拓扑 示意 图 


(4) 所 有 网 络 基 础 设备 必须 锁 在 设备 柜 里 ,只 有 维修 人 员 可 以 打开 访问 ,其 他 人 无 权 
访问 。 


2. 物理 维护 


(1) 只 有 网 络 设备 维护 小 组 的 成 员 才 有 权 访 问 设 备 间 和 设备 机 柜 。 

(2) 其 他 人 员 如 有 必要 (如 电源 维修 ) ,必须 在 网 络 设备 维护 小 组 的 成 员 陪同 下 打开 
设备 间 。 

(3) 设备 间 必 须 安 装 远程 监控 系统 。 

(4) 当 维 护 小 组 成 员 发 生 人 事变 动 时 , 需 更 换 设 备 间 的 锁 。 


3. 逻辑 网 络 规划 


(1) 所 有 外 部 人 员 需 要 访问 的 资源 全 部 划分 到 防火 墙 的 DMZ 区 上 (如 WWW 服务 )。 

(2) 根据 部 门 不 同 ,将 其 他 网 络 分 隔 成 VLAN, 分 别提 供给 行政 、 教 学、 财务 和 普通 
攻 户 。 

(3) 网 络 监控 系统 独立 构成 一 个 VLAN ,并 不 得 与 其 他 网 段 进行 数据 交换 。 

(4) 财务 部 门 需 建立 一 个 独立 的 子 网 ,不 与 外 界 数据 进行 通信 。 

(5) 所 有 基础 设备 和 关键 服务 都 位 于 各 自 的 子 网 中 。 


4. 网 络 访问 策略 


(1) 普通 用 户 只 能 访问 外 网 。 
(2) 只 有 财务 有 权 访问 财务 子 网 。 
(3) 行政 人 员 有 权 访 问 除 监控 、 财 务 外 的 其 他 子 网 。 
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5. 访问 网 络 设备 


(1) 只 有 网 络 设备 维护 组 的 成 员 才 能 通过 Telnet 方式 访问 网 络 基 础 设施 设备 。 

(2) 对 网 络 基础 设施 的 访问 采用 一 次 性 密码 鉴别 技术 。 

(3) 所 有 基础 设备 通常 都 有 注册 提示 ,提示 的 信息 不 应 该 包括 系统 类 型 或 设备 名 称 。 
(4) 记录 对 基础 设备 执行 的 所 有 操作 。 


6. 基础 设施 安全 性 


(1) 如 果 交 换 机 LAN 端口 和 路 由 器 接口 没有 被 使 用 时 ,禁止 对 它们 的 访问 。 
(2) 防火 墙 的 功能 被 作用 在 出 口 点 和 应 用 服务 器 子 网 前 端 。 
(3) 只 支持 必要 的 网 络 服务 ,这 些 服务 由 网 络 安全 指导 小 组 来 确定 。 


7. 数据 完整 性 


(1) 在 关键 服务 器 与 个 人 计算 机 中 不 得 使 用 与 工作 无 关 的 软件 。 

(2) 所 有 软件 映射 和 操作 系统 在 安装 前 都 必需 采用 校 验 和 确认 机 制 来 确认 其 完 
整 性 。 

(3) 所 有 路 由 更 新 和 VLAN 更 新 信息 都 必需 在 发 送 和 接收 设备 之 间 进 行 验证 。 


8. 数据 保密 性 


(1) 所 有 学 生成 绩 的 信息 必须 加 密 。 
(2) 所 有 关于 财务 的 信息 必须 加 密 。 
(3) 所 有 教工 信息 和 利益 的 信息 必须 加 密 。 


9. 个 人 安全 控制 


(1) 必须 确定 各 应 用 系统 关键 职位 的 人 选 ,确定 可 能 的 继任 者 。 

(2) 新 来 的 负责 执行 和 操作 网 络 基础 设施 设备 的 员工 需要 通过 全 面 的 背景 材料 
调查 。 

(3) 所 有 涉及 网 络 基础 设备 的 人 员 ,包括 技术 支持 和 管理 人 员 都 必须 参加 安全 技术 
讲座 。 


10. 设备 的 采购 与 维护 

(1) 所 有 基础 设施 设备 在 买 进 之 前 必须 通过 采购 认证 。 

(2) 所 有 新 的 映射 和 配置 在 投入 使 用 之 前 必须 先 在 测试 设备 上 经 过 模拟 。 

(3) 所 有 预定 的 主要 网 络 停机 和 中 断 服务 都 需 提 前 通知 可 能 受到 影响 的 部 门 。 
11. 备份 程序 


(1) 所 有 软件 映射 和 配置 在 修改 前 必须 在 基础 设施 设备 上 留 有 备份 。 
(2) 原来 的 映射 和 配置 文件 必须 保留 到 进行 男 一 次 修改 时 。 
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(3) 所 有 备份 必须 存储 在 专用 的 加 锁 的 地 方 。 
12. 用 户 安全 教育 


(1) 每 半年 进行 一 次 网 络 安全 培训 。 

(2) 不 得 使 用 盗版 操作 系统 及 相关 软件 。 

(3) 正常 情况 下 ,所 有 密码 不 得 通过 纸张 .邮件 、 网 络 通信 软件 及 电话 传送 。 
(4) 在 交换 密码 等 核心 数据 时 ,必需 通过 身份 鉴别 才能 交换 ,并 留 下 交换 记录 。 
(5) 用 户 离职 , 需 及 时 删除 其 在 各 个 应 用 系统 中 的 权限 。 


33 网 络 安全 测试 工具 的 使 用 


在 了 解 完 安全 策略 的 制定 过 程 后 ,对 网 络 现状 的 调查 与 了 解 , 则 是 制定 网 络 安全 策 
略 的 必要 前 提 。 如 果 对 网 络 的 运行 状况 一 无 所 知 , 或 者 知之 甚 少 的 话 , 根 本 无 法 制定 出 
科学 合理 的 安全 策略 。 不 是 过 于 庞杂 无 法 实施 ,就 是 毫 无 重点 达 不 到 预期 效果 。 事 实 
上 ,在 网 络 攻击 者 对 特定 网 络 进行 人 侵 过 程 中 ,第 一 步 也 是 对 日 标 网 络 进行 侦 测 ,以 了 解 
该 网 络 的 缺陷 及 薄弱 环节 ,从 而 确定 下 一 步 的 工作 。 所 以 ,无 论 是 网 络 的 管理 者 和 入 侵 
者 都 需要 掌握 一 些 网 络 测试 工具 ,利用 这 些 工 具 来 对 整个 网 络 的 运行 状况 进行 测试 ,以 
便 了 解 网 络 现状 ,及 时 弥补 一 些 显而易见 的 安全 漏洞 。 从 而 加 固 网 络 系统 ,增加 网 络 安 
全 。 下 面 就 对 一 些 常用 的 网 络 安全 测试 工具 分 别 进 行 叙述 。 
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面 对 网 络 越 来 越 多 的 安全 入 侵 ,如 果 能 够 尽 可 能 早 地 发 现 网 络 系统 安全 漏洞 ,并 及 
时 采取 适当 的 处 理 措施 进行 修补 ,就 可 以 有 效 地 阻止 人 侵 事 件 的 发 生 。 利 用 扫描 工具 对 
系统 进行 安全 扫描 ,是 了 解 目前 网 络 运行 情况 的 有 效 方法 。 通 过 扫描 来 了 解 系统 向 外 界 
提供 了 哪些 服务 ,或 者 探测 目标 主机 系统 端口 目前 正在 向 外 提供 何 种 服务 。 扫 描 技 术 利 
用 TCP/IP 协议 标准 和 其 在 各 种 操作 系统 中 不 同 的 实现 方式 ,向 目标 主机 的 服务 端口 发 
送 探测 数据 包 , 并 记录 目标 主机 的 响应 。 通 过 分 析 响 应 的 数据 包 来 判断 服务 端口 是 打开 
还 是 关闭 ,就 可 以 得 知 端口 提供 的 服务 或 信息 。 它 可 以 搜集 到 目标 主机 的 各 种 信息 ,如 是 
否 能 用 匿名 登录 ,是 否 有 可 写 的 FTP 目录 ,是 否 能 用 Telnet 等 。 扫 描 也 可 以 通过 捕获 本 地 
主机 或 服务 器 的 流入 流出 数据 包 来 监视 本 地 IP 主机 的 运行 情况 , 它 能 对 接收 到 的 数据 进行 
分 析 , 帮 助人 们 发 现 目标 主机 的 某 些 内 在 弱点 。 扫 描 工 作 本 身 不 会 提供 侵入 一 个 系统 的 详 
细 方 法 ,只 是 系统 入 侵 的 前 奏 。 系 统 扫描 通常 采用 两 种 策略 ,第 一 种 是 被 动 式 策略 ,第 二 种 
是 主动 式 策略 。 所 谓 被 动 式 策略 就 是 基于 主机 之 上 ,对 系统 中 不 合适 的 设置 .脆弱 的 密码 
以 及 其 他 同安 全 规则 抵触 的 对 象 进行 检查 ;而 主动 式 策略 是 基于 网 络 的 , 它 通 过 执行 一 些 
脚本 文件 模拟 对 系统 进行 攻击 的 行为 并 记录 系统 的 反应 ,从 而 发 现 其 中 的 漏洞 。 

扫描 软件 从 最 初 专门 为 UNIX 系统 编写 的 一 些 只 具有 简单 功能 的 小 程序 ,发展 到 现 
在 已 经 出 现 了 多 个 运行 在 各 种 操作 系统 平台 上 的 .具有 复杂 功能 的 商业 程序 。 这 些 软件 
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常用 的 有 如 下 几 种 实现 方式 。 

(1) 使 用 插件 。 每 个 插件 都 封装 有 一 个 或 者 多 个 漏洞 的 测试 手段 , 主 扫描 程序 通过 
调用 插件 的 方法 来 执行 扫描 。 添 加 新 的 插件 就 可 以 使 软件 增加 新 功能 ,用 来 扫描 更 多 的 
漏洞 。 在 插件 编写 规范 公布 的 情况 下 ,用户 或 者 第 三 方 公司 甚至 可 以 自己 编写 插件 来 扩 
充 软件 的 功能 。 这 种 技术 使 软件 的 升级 维护 都 变 得 相对 简单 ,并 具有 非常 强 的 扩展 性 。 

(2) 使 用 专用 脚本 语言 。 事 实 上 这 是 一 种 更 高 级 的 插件 技术 ,用 户 可 以 使 用 专用 脚 
本 语言 来 扩充 软件 功能 。 脚 本 语言 的 使 用 简化 了 编写 新 插件 的 编程 工作 ,使 扩充 软件 功 
能 的 工作 变 得 更 加 容易 和 方便 。 

(3) 安全 评估 专家 系统 。 现 在 较 成 熟 的 扫描 系统 都 能 够 将 对 主机 的 扫描 结果 进行 整 
理 并 形成 报表 ,能 够 对 一 些 具体 漏洞 提供 相应 的 解决 方法 ,并 能 对 网 络 的 状况 形成 一 个 
整体 的 评估 。 而 不 是 像 一些 较 早 的 漏洞 扫描 程序 只 是 简单 地 把 各 个 扫描 测试 项 的 执行 
结果 罗列 出 来 ,不 对 信息 进行 任何 分 析 处 理 直 接 提 供给 测试 者 。 从 扫描 系统 发 展 的 规律 
来 看 ,未 来 的 安全 扫描 系统 不 但 能 够 扫描 安全 漏洞 ,还 能 够 智能 化 的 协助 网 络 信息 系统 
管理 人 员 评估 本 网 络 的 安全 状况 给 出 安全 建议 ,成 为 一 个 安全 评估 专家 系统 。 

日 前 常用 的 专业 扫描 工具 有 SuperScan、nmap、Nessus、ShadowScan 等 ,其 中 有 些 只 
能 在 Windows 系统 下 运行 ,有 的 只 能 在 BSD 系统 下 运行 。 它 们 都 是 广 为 流 传 .应 用 广泛 
的 扫描 工具 ,是 攻击 者 与 被 攻击 者 都 可 以 得 到 的 强大 的 信息 收集 工具 。 在 执行 扫描 工作 
的 时 候 , 由 于 其 对 系统 有 一 定 的 影响 ,所 以 必须 要 考虑 到 网 络 的 承受 能 力 和 对 目标 计算 
机 的 影响 。 同 时 ,无论 是 出 于 某 种 目的 ,扫描 工作 必须 在 国家 法 律 法 规 允 许 的 范围 进行 。 
由 于 扫描 工具 很 多 ,本 书 仅 选取 在 Windows 系统 和 BSD 系统 下 常见 的 SuperScan 和 
nmap 进行 重点 介绍 。 


1. SuperScan 的 使 用 


SuperScan 是 一 款 在 Windows 下 使 用 较 多 专业 扫描 软件 ,由 Foundstone 公司 出 品 ， 
目前 较 新 的 版 本 是 SuperScan 4.0。 它 是 一 款 免费 的 扫描 软件 ,用 户 下 载 后 无 须 安 装 , 直 
接 可 以 运行 使 用 。 它 能 够 通过 ping 命令 来 检验 IP 是 否 在 线 , 可 以 进行 IP 和 域名 相互 转 
换 , 能 够 检验 目标 计算 机 提供 的 服务 类 别 ,检验 一 定 范 围 内 目标 计算 机 是 否 在 线 和 端口 
情况 ,还 可 以 使 用 工具 自 定 义 列表 检验 目标 计算 机 ,也 可 以 自 定 义 要 检验 的 端口 ,并 保存 
为 端口 列表 文件 。 它 还 自 带 一 个 木马 端口 列表 trojans. lst, 通 过 这 个 列表 可 以 检测 目标 
计算 机 是 否 有 木马 。 同 时 ,也 可 以 自己 定义 修改 这 个 木马 端口 列表 。 可 以 看 出 ,这 款 软 
件 几 乎 将 与 IP 扫描 有 关 的 所 有 功能 全 部 做 到 了 ,而 且 每 一 个 功能 都 很 专业 。 

1) 软件 具体 使 用 

SuperScan 4.0 是 免费 的 扫描 软件 ,可 以 在 http://www. foundstone. com 网 站 上 下 
载 ,是 一 个 196kb 的 Zip 压缩 包 。 因 为 SuperScan 运行 时 有 可 能 引起 网 络 包 溢出 ,所 以 
Foundstone 网 站 声明 某 些 杀毒 软件 可 能 识别 SuperScan 是 一 款 拒绝 服务 攻击 (DoS) 的 代 
理 , 需 要 关闭 杀毒 软件 才能 正常 运行 。 此 软件 是 一 款 绿色 软件 ,无 须 进行 系统 安装 ,下 载 
后 直接 运行 就 可 以 工作 了 。 运 行程 序 时 .出 现 程 序 运 行 窗口 ,如 图 3-4 所 示 。 

SuperScan 软件 使 用 非常 简便 ,其 主要 功能 有 扫描 、 主 机 与 服务 发 现 、 扫 描 选 择 、 工 
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Scan | Host and Service Discovery | Scan Options | Took | Windows Enumeration | About | 


ps 
HostnamemP | 了 | Far EndP | Cea Selecled 
| a ea 和 
EX 


ReadiPshomfie 2 | 


w Found 


lle Yiew HTML Resuls 


图 3-4 ”SuperScan 4.0 运行 的 主 界面 


具 、 窗 口 列 举 等 。 
2) 扫描 


SuperScan 扫描 包括 主机 扫描 以 及 对 地 址 段 的 扫描 。 在 Hostname/IP 后 输入 域名 ， 
系统 会 自动 将 IP 地 址 解析 出 来 ,如 图 3-5 所 示 。SuperScan 允许 输入 要 扫描 的 IP 范围 ， 


进行 整个 网 段 的 快速 扫描 。 


Ps 
Hostname/IP [ow 163 com 加 
stp x 2 1 2 5 

> 
ER | 220 .18 .2 . 53 


ResdiPshomfie > | 


rocal live hosts discovered 1 
roral open TCP ports 日 


ive hosts this bacch: 1 = 
Total open UDP ports 10 司 


cp service scan (SYN) pass 1 of 1 (1 hosts x 179 porcs)- - 
[mp service scan deceraining TCMP unreachable hosts pass 1 of 1 (1 hoscs)- 
Dp service scan pass 1 of 1 (1 hosts x 15 pores).-. 
Pertorning hostnane resolution... 
Dertorning banner grabs..- 
TCP banner grabbing (0 ports) 加 | 
习 


UDP barmer grabbing (10 ports) 
Deporting scan results... 


3-5 SuperScan 4.0 扫描 主机 
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按 下 扫描 按钮 后 ,系统 开始 对 地 址 ( 段 ) 进 行 扫描 。 扫 描 进程 结束 后 ,SuperScan 将 提 
供 一 个 主机 列表 , 列 出 关于 每 台 扫描 过 的 主机 被 发 现 的 开放 端口 信息 。SuperScan 可 以 
将 扫描 了 哪些 主机 和 在 每 台 主 机 上 哪些 端口 是 开放 的 结果 以 HTML 文件 格式 显示 出 
来 ,如 图 3-6 所 示 。 


SuperScan Report - 02/03/07 22:31:51 


图 3-6 HTML 格式 显示 结果 


3) 关于 主机 和 服务 器 扫描 设置 
通过 一 些 初步 设置 ,已 经 能 够 从 一 群 主 机 中 执行 简单 的 扫描 ,然而 很 多 时 候 需 要 定 
制 扫 描 。 这 时 ,要 用 到 Host and Service Discovery 选项 卡 , 如 图 3-7 所 示 。 利 用 这 个 选 


图 3-7 ”Host and Service Discovery 选项 卡 
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项 ,可 以 让 用 户 在 扫描 的 时 候 看 到 更 多 信息 。 它 包括 主机 发 现 选项 (host discovery) 和 
UDP 端口 扫描 及 TCP 端口 扫描 。 

发 现 主 机 的 方法 是 通过 重复 请 求 (echo requests) 来 实现 ,也 可 以 通过 时 间 惟 请求 
(timestamp) ,地 址 屏蔽 请 求 (address mask requests) 和 消息 请 求 (information requests) 
来 发 现 主机 。SuperScan 最 初 开始 扫描 的 仅仅 是 那 几 个 最 常用 的 端口 ,主要 的 原因 是 因 
为 有 超过 65000 个 的 TCP 和 UDP 端口 , 若 对 每 个 可 能 开放 端口 的 IP 地 址 进行 超过 
130000 次 的 端口 扫描 , 那 将 需要 很 长 的 时 间 。 因 此 ,SuperScan 最 初 开始 扫描 的 只 是 几 
个 最 常用 的 端口 ,但 也 提供 给 用 户 扫 描 额 外 端口 的 选项 。 

如 果 检 测 的 时 候 没有 特定 的 目的 ,只 是 为 了 了 解 目 标 计算 机 的 一 些 情况 ,可 以 对 目 
标 计算 机 的 所 有 端口 进行 检测 。 需 要 注意 的 是 选择 的 选项 越 多 ,那么 扫描 用 的 时 间 就 越 
长 。 它 会 对 目标 计算 机 的 正常 运行 造成 一 定 影响 ,同时 也 会 引起 目标 计算 机 的 警觉 ,还 
会 浪费 带宽 资源 ,对 网 络 正常 运行 造成 影响 。 如 果 用 户 正在 试图 尽量 多 的 收集 一 个 明确 
的 主机 信息 ,建议 首先 执行 一 次 常规 的 扫描 以 发 现 主 机 ,然后 再 利用 可 选 的 请 求 选项 来 
扫描 。 

其 实 , 大 多 数 时 候 不 需要 检测 所 有 端口 ,只 要 检测 有 限 的 几 个 端口 就 可 以 了 ,因为 目 
的 只 是 为 了 得 到 目标 计算 机 提供 的 服务 和 使 用 的 软件 。 所 以 ,可 以 根据 不 同 的 目的 来 检 
测 不 同 的 端口 ,大 部 分 时 候 只 要 检测 80(Web 服务 )、21(FTP 服务 )、23(Telnet 服务 ) 等 
常用 的 端口 就 可 以 了 。 即 使 是 攻击 性 检测 ,也 不 会 有 太 多 的 端口 需要 扫描 。 使 用 自 定义 
端口 的 方式 有 以 下 优点 。 

(1) 选择 端口 时 可 以 详细 了 解 端口 信息 。 

(2) 选择 的 端口 可 以 自己 取 名 保存 ,有 利于 再 次 使 用 。 

(3) 可 以 要 求 工具 有 的 放 矢 的 检测 目标 端口 ,节省 时 间 和 资源 。 

(4) 根据 一 些 特定 端口 ,可 以 检测 目标 计算 机 是 否 被 攻击 者 利用 、 种 植木 马 或 打开 不 
应 该 打开 的 服务 。 

4) 扫描 选项 (Scan Options) 

如 图 3-8 所 示 ,Scan Options 选项 允许 进一步 的 控制 扫描 进程 ,能 够 控制 扫描 速度 和 
通过 扫描 的 数量 。 菜 单 中 的 首选 项 是 定制 扫描 过 程 中 主机 和 通过 审查 的 服务 数 。 默 认 
值 是 1, 一 般 来 说 足够 了 ,除非 网 络 连 接 不 太 可 靠 时 才 要 进行 修改 。 

Scan Options 中 的 另 一 个 选项 是 设置 主机 名 解析 的 数量 。 同 样 ,使 用 默认 值 1 足够 
了 ,除非 在 连接 不 可 靠 时 要 进行 更 改 。 另 一 个 选项 是 获取 标志 (banner grabbing) 的 设 
置 ,Banner Grabbing 是 根据 显示 一 些 信息 尝试 得 到 远程 主机 的 回应 。 上 默认 的 延迟 是 
8000ms, 如 果 所 连接 的 主机 比较 慢 , 这 个 时 间 就 不 太 够 。 旁 边 的 滚动 条 是 扫描 速度 调节 
选项 ,利用 它 能 调节 SuperScan 发 送 每 个 包 所 要 等 待 的 时 间 。 扫 描 最 快 的 是 调节 滚动 条 
将 其 设 为 0。 但 是 当 扫 描 速 度 设 置 为 0 时 , 则 存在 包 溢 出 的 潜在 可 能 。 如 果 担 心 由 于 
SuperScan 引起 的 过 量 包 溢 出 ,最 好 调 慢 SuperScan 的 速度 。 

5) 工具 (Tools) 选 项 

SuperScan 的 工具 选项 (Tools) 是 非常 有 用 的 选项 , 它 集 成 了 许多 工具 集 。 这 些 工 具 
集 包 括 DNS 解析 、ping 工具 和 Traceroute 工具 等 常用 的 网 络 测试 工具 。 通 过 利用 这 些 
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图 3-8 Scan Options 选项 卡 


工具 可 以 使 用 户 很 快 的 得 到 许多 关于 指定 主机 的 信息 。 正 确 输入 主机 名 或 IP 地 址 和 默 
认 的 连接 服务 器 ,然后 单 击 要 得 到 信息 的 相关 按钮 。 如 可 以 试 着 ping 一 台 服 务 器 或 
Traceroute 和 发 送 一 个 HTTP 请 求 。 图 3-9 显示 了 得 到 的 各 种 信息 。 


硬 
面 
[ 
而 
司 
而 
同 
夯 
碳 
夯 
而 
了 划 
而 


图 3-9 通过 不 同 的 按钮 收集 主机 信息 


6) Windows 枚 举 选 项 (Windows Enumeration) 
最 后 一 个 功能 选项 是 Windows 枚 举 选 项 ,如 果 用 户 设法 收集 信息 的 是 Linux/UNIX 
主机 , 那 这 个 选项 是 没什么 用 的 。 但 如 果 需 要 Windows 主机 的 信息 , 它 确实 是 很 方便 
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的 。 如 图 3-10 所 示 , 它 能 够 提供 从 单个 主机 到 用 户 群 组 ,再 到 协议 策略 的 所 有 信息 。 
个 选项 给 人 最 深刻 的 印象 是 它 产 生 的 大 量 透 明 信 息 。 


这 


Hostname/P/lURL [ww aa Enmeale | Opions. Clea 


w Found 


图 3-10 ”Windows 枚 举 选项 能 够 产生 关于 Windows 主机 的 大 量 信息 


SuperScan 是 系统 管理 员 常备 的 几 种 工具 之 一 。 可 将 其 作为 日 常安 全 审核 工具 包 的 
一 部 分 。 如 果 管理 员 知 道 入 侵 者 能 够 看 到 自己 所 管理 的 网 络 中 的 哪些 信息 ,那么 就 有 可 
能 采取 相应 的 措施 ,减少 潜在 攻击 ,有 效 地 保护 网 络 系统 。 


2. nmap 的 使 用 方法 


nmap 是 一 个 强大 的 ,传统 的 网 络 检 测 和 安全 扫描 程序 , 它 最 初 是 在 UNIX 环境 下 运 
行 的 。 它 在 各 类 BSD 系统 内 都 有 着 很 好 的 表现 ,目前 已 经 移植 到 Windows 平台 了 。 用 
户 可 以 通过 这 个 软件 来 对 大 型 网 络 进行 扫描 获取 需要 的 信息 ,如 主机 正在 运行 什么 操作 
系统 ,提供 了 什么 服务 等 。nmap 是 一 个 极为 强大 的 工具 ,其 综合 了 多 种 扫描 模式 ,如 
UDP、TCP Connect、TCP SYN FTP 代理 .ICMP、FIN、ACK 扫描 ,SYN 扫描 、null 扫描 
等 。 同 时 还 提供 了 一 些 高 级 的 特征 ,如 通过 TCP/IP 协议 栈 特 征 探测 操作 系统 类 型 、 秘 
密 扫 描 、 动 态 延 时 和 重 传 计算 、 并 行 扫描 、 通 过 并 行 ping 扫描 探测 关闭 的 主机 .诱饵 扫描 、 
避 开 端口 过 滤 检 测 、 直 接 RPC 扫描 、 碎 片 扫描 以 及 灵活 的 目标 及 端口 设 定 。 

nmap 扫描 主机 后 ,一般 会 列 出 端口 的 列表 ,给 出 端口 的 服务 名 、 端 口号 ,状态 和 协议 
等 信息 ,如 下 所 示 。 


[root@ test root]#rmap 127.0.0.1 

Starting rmap V. 3.00 ( waw.insecure.org/rmap/ ) 

Interesting ports on (192.168.0.1) : 

(The 1582 ports scanned but not shown below are in state: closed) 
Port State Service 

80/top pan http 
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innsstsnnr 


5/top filtered microsoft-ds 

Tp filtered wmomn 

5900/tqp filtered wc 

Nrap run completed — 1 IP adiress (1 host up) scanned in 38 seoonds 

每 个 端口 的 状态 有 open ,filtered unfiltered 三 种 形式 。open 状态 意味 着 目标 主机 
能 够 在 这 个 端口 使 用 accept() 系 统 调用 接受 连接 。filtered 状态 表示 被 防火 墙 ` 包 过 滤 或 
其 他 的 安全 软件 掩盖 了 这 个 端口 ,禁止 nmap 探测 其 是 否 打开 。unfiltered 表示 这 个 端口 
关闭 ,并 且 没 有 防火 墙 / 包 过 滤 软 件 来 隔离 nmap 的 探测 企图 。 通 常情 况 下 ,端口 的 状态 
基本 都 是 unfiltered 状态 ,只 有 在 大 多 数 被 扫描 的 端口 处 于 filtered 状态 下 , 才 会 显示 处 
于 unfiltered 状态 的 端口 。 根 据 使 用 的 功能 选项 ,nmap 也 可 以 报告 远程 主机 所 使 用 的 操 
作 系 统 、TCP 序列 .运行 绑 定 到 每 个 端口 上 的 应 用 程序 的 用 户 名 .DNS 名 .主机 地 址 是 否 
是 欺骗 地 址 以 及 其 他 一 些 东 西 。 在 Linux/UNIX 下 运行 的 nmap 一 般 只 能 由 root 用 户 
使 用 。 通 常 Linux 系统 会 将 namp 预 装 在 系统 内 ,无 须 进行 安装 直接 使 用 就 可 以 了 。 可 
以 使 用 下 面 的 命令 来 查看 所 使 用 的 nmap 版 本 。 


[rooctQ test root] rmap - version 


如 果 系 统 内 存在 nmap 的 话 , 会 显示 nmap 的 版 本 号 。 如 果 系 统 中 没有 预 装 的 话 ,可 
以 到 http://insecure. org/nmap/download. html 上 去 下 载 最 新 版 本 的 nmap 程序 。 由 于 
nmap 更 新 较 快 ,但 其 基本 的 用 法 一 样 ,我 们 以 nmap 4. 2 版 本 为 例 ,在 Linux 系统 下 详细 
说 明 其 使 用 方法 ,nmap 的 功能 选项 可 以 组 合 使 用 ,一 些 功能 选项 只 能 够 在 某 种 扫描 模式 
下 使 用 。nmap 会 自动 识别 无 效 或 者 不 支持 的 功能 选项 组 合 ,并 向 用 户 发 出 警告 信息 。 
可 以 使 用 下 面 的 命令 来 快速 列 出 功能 选项 的 列表 。 


[rootQ test root]#rmap - h 


1) 功能 参数 选项 

(1) 参数 : -sS 

TCP 同步 扫描 (TCP SYN) 因 为 不 必 全 部 打开 一 个 TCP 连接 ,所 以 这 项 技术 通常 称 
为 半 开 扫描 (half-open)。 可 以 发 出 一 个 TCP 同步 包 (SYN), 然 后 等 待 回 应 。 如 果 对 方 
返回 SYN/ACK( 响 应 ) 包 就 表示 目标 端口 正在 监听 ;如 果 返 回 RST 数据 包 , 就 表示 目标 
端口 没有 监听 程序 。 如 果 收 到 一 个 SYN/ACK 包 , 源 主机 就 会 马上 发 出 一 个 RST( 复 
位 ) 数 据 包 断 开 和 目标 主机 的 连接 , 它 实际 上 由 操作 系统 内 核 自 动 完 成 的 。 这 项 技术 最 
大 的 好 处 是 很 少 有 系统 能 够 把 这 记 入 系统 日 志 , 不 过 需要 root 权限 来 定制 SYN 数据 包 。 

(2) 参数 : -sT 

这 是 最 基本 的 TCP 扫描 方式 。connect() 是 一 种 由 操作 系统 提供 的 系统 调用 ,用 来 
打开 一 个 链接 。 如 果 目 标 端口 有 程序 监听 ,connect() 就 会 成 功 返 回 , 和 否则 这 个 端口 是 不 
可 达 的 。 其 最 大 的 优点 是 任何 UNIX 用 户 都 可 以 自由 使 用 这 个 系统 调用 。 这 种 扫描 很 
容易 被 检测 到 ,在 目标 主机 的 日 志 中 会 记录 大 批 的 连接 请 求 以 及 错误 信息 。 

(3) 参数 : -sU 

UDP 扫描 。 如 果 想 知道 在 某 台 主机 上 提供 哪些 UDP( 用 户 数据 报 协议 ,RFC768) 服 
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务 , 可 以 使 用 这 种 扫描 方法 。nmap 首先 向 目标 主机 的 每 个 端口 发 出 一 个 0 字 节 的 UDP 
包 , 如 果 收 到 端口 不 可 达 的 ICMP 消息 ,端口 就 是 关闭 的 ;和 否则 就 假设 它 是 打开 的 。 

(4) 参数 : -sP 

这 是 ping 扫描 。 有 时 候 只 是 想 知道 此 时 网 络 上 哪些 主机 正在 运行 。 通 过 向 指定 网 
络 内 的 每 个 IP 地 址 发 送 ICMP echo 请 求 数 据 包 ,nmap 就 可 以 完成 这 项 任务 。 如 果 主 机 
正在 运行 就 会 作出 响应 。 不 幸 的 是 ,一 些 站 点 会 阻塞 ICMP echo 请 求 数据 包 。 然 而 ,在 
默认 的 情况 下 nmap 也 能 够 向 80 端口 发 送 TCP ack 包 , 如 果 收 到 一 个 RST 包 ,就 表示 主 
机 正在 运行 。nmap 使 用 的 第 三 种 技术 是 发 送 一 个 SYN 包 , 然 后 等 待 一 个 RST 或 者 
SYN/ACK 包 。 对 于 非 root 用 户 ,nmap 使 用 connect() 方 法 。 在 默认 的 情况 下 (root 用 
户 ) ,nmap 并 行使 用 ICMP 和 ACK 技术 。 注 意 ,nmap 在 任何 情况 下 都 会 进行 ping 扫 
描 , 只 有 目标 主机 处 于 运行 状态 , 才 会 进行 后 续 的 扫描 。 如 果 只 是 想 知道 目标 主机 是 否 
运行 ,而 不 想 进行 其 他 扫描 , 才 会 用 到 这 个 选项 。 

(5) 参数 : -sF -sX -SN 

这 是 秘密 FIN 数据 包 扫描 圣诞 树 (Xmas Tree) ` 空 (Null) 扫描 模 式 , 在 SYN 扫描 都 
无 法 确定 的 情况 下 使 用 。 一 些 防火 墙 和 包 过 滤 软 件 能 够 对 发 送 到 被 限制 端口 的 SYN 数 
据 包 进行 监视 ,而 且 有 些 程序 (如 synlogger 和 courtney) 能 够 检测 哪些 扫描 。 这 些 高 级 
的 扫描 方式 可 以 逃 过 这 些 干扰 ,理论 依据 是 关闭 的 端口 需要 对 探测 包 回 应 RST 包 , 而 打 
开 的 端口 必须 忽略 有 问题 的 包 。FIN 扫描 使 用 暴露 的 FIN 数据 包 来 探测 ,而 圣诞 树 扫 描 
打开 数据 包 的 FIN、URG 和 了 PUSH 标志 。 由 于 微软 的 操作 系统 忽略 这 个 标准 ,所 以 这 种 
扫描 方式 对 Windows 系统 无 效 。 

(6) 参数 ; -sA 

ACK 扫描 。 这 项 高 级 的 扫描 方法 通常 用 来 穿 过 防火 墙 的 规则 集 。 通 常情 况 下 ,这 
有 助 于 确定 一 个 防火 墙 是 功能 比较 完善 的 还 是 一 个 简单 的 包 过 滤 程 序 只 是 阻塞 进入 的 
SYN 包 。 这 种 扫描 是 向 特定 的 端口 发 送 ACK 包 ( 使 用 随机 的 应 答 / 序 列 号 )。 如 果 返 回 
一 个 RST 包 , 这 个 端口 就 标记 为 unfiltered 状态 。 如 果 什 么 都 没有 返回 或 返回 一 个 不 可 
达 ICMP 消息 ,这 个 端口 就 归 入 filtered 类 。 注 意 ,nmap 通常 不 输出 unfiltered 的 端口 ， 
所 以 在 输出 中 通常 不 显示 所 有 被 探测 的 端口 ,显然 这 种 扫描 方式 不 能 找 出 处 于 打开 状态 
的 端口 。 

(7) 参数 : -sW 

对 滑动 窗口 的 扫描 。 这 项 高 级 扫描 技术 非常 类 似 于 ACK 扫描 , 它 有 时 可 以 检测 到 
处 于 打开 状态 的 端口 。 因 为 滑动 窗口 的 大 小 是 不 规则 的 ,有 些 操作 系统 可 以 报告 其 大 
小 。 这 些 系统 包括 某 些 版 本 的 AIX、OpenBSD、SunOS 4. x、Ultrix 等 。 

(8) 参数 : -sR 

这 是 RPC 扫描 。 这 种 方法 要 和 nmap 的 其 他 端口 扫描 方法 结合 使 用 。 选 择 所 有 处 
于 打开 状态 的 端口 向 它们 发 出 SunRPC 程序 的 NULL 命令 ,以 确定 它们 是 否 是 RPC 端 
。 如 果 是 ,就 确定 是 哪 种 软件 及 其 版 本 号 。 因 此 能 够 获得 防火 墙 的 一 些 信息 。 但 诱饵 
扫描 现在 还 不 能 和 RPC 扫描 结合 使 用 。 
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(9) 参数 : -sL 

列 出 扫描 结果 。 这 个 方法 不 需要 真正 的 ping 或 扫描 主机 ,能 简单 执行 并 打印 出 
IPs/Name 列表 。DNS 名 称 解 析 将 被 执行 ,除非 使 用 了 -n 参数 。 

(10) 参数 : -b 

FTP 反弹 攻击 (bounce attack) 。FTP 协议 支持 代理 FTP 连接 。 也 就 是 说 ,能 够 从 
source. com 连接 到 FTP 服务 器 target. com ,并 且 可 以 要 求 这 台 FTP 服务 器 为 自己 发 送 
Internet 上 任何 地 方 的 文件 。 可 以 使 用 这 个 特征 ,让 一 台 代理 FTP 服务 器 扫描 TCP 端 
口 ,需要 先 连接 到 防火 墙 后 面 的 一 台 FTP 服务 器 ,接着 进行 端口 扫描 。 如 果 在 这 台 FTP 
服务 器 中 有 可 读 写 的 目录 ,还 可 以 向 目标 端口 任意 发 送 数据 。 传 递 给 功能 选项 -b 参数 的 
是 要 作为 代理 的 FTP 服务 器 。 语 法 格式 为 。 


-b username: password@ server: port 


除了 server 以 外 ,其 余 都 是 可 选 的 。 

2) 通用 选项 

(1) 参数 : -P0 

在 扫描 之 前 ,不 必 ping 主机 。 因 为 有 些 网 络 的 防火 墙 不 允许 ICMP echo 请 求 穿 过 ， 
使 用 这 个 选项 可 以 对 这 些 网 络 进行 扫描 。 

(2) 参数 : -PT 

扫描 前 ,使 用 TCP ping 确定 哪些 主机 正在 运行 。 注 意 nmap 并 不 是 通过 发 送 ICMP 
echo 请 求 包 ,然后 等 待 响应 来 实现 这 种 功能 ,而 是 向 目标 网 络 ( 或 者 单一 主机 ) 发 出 TCP 
ACK 包 然 后 等 待 回 应 。 如 果 主 机 正在 运行 就 会 返回 RST 包 。 只 有 在 目标 网 络 /主机 阻 
塞 了 ping 包 , 而 仍旧 允许 对 其 进行 扫描 时 ,这 个 选项 才 有 效 。 对 于 非 root 用 户 , 可 以 使 
用 connect() 系 统 调用 来 实现 这 项 功能 。 使 用 -PT 二 端口 号 过 来 设 定 目标 端口 ,由 于 80 
端口 常 被 用 来 提供 Web 服务 ,通常 不 会 被 过 滤 ,所 以 被 设 定 为 默认 端口 号 。 

(3) 参数 : -PS 

对 于 root 用 户 ,这 个 选项 让 nmap 使 用 SYN 包 而 不 是 ACK 包 来 对 目标 主机 进行 扫 
描 。 如 果 主 机 正在 运行 就 返回 一 个 RST 包 ; 否 则 返回 一 个 SYN/ACK 包 。 

(4) 参数 : -PI 

设置 这 个 选项 ,让 nmap 使 用 真正 的 ping(ICMP echo 请 求 ) 来 扫描 目标 主机 是 否 正 
在 运行 。 使 用 这 个 选项 让 nmap 发 现 正在 运行 的 主机 的 同时 ,nmap 也 会 对 直接 子 网 广播 
地 址 进行 观察 。 直 接 子 网 广播 地 址 是 一 些 外 部 可 达 的 IP 地 址 ,把 外 部 的 包 转 换 为 一 个 
内 向 的 IP 广播 包 , 向 一 个 计算 机 子 网 发 送 。 这 些 IP 广播 包 应 该 删除 ,因为 会 造成 拒绝 服 
务 攻 击 ( 如 smurf) 。 

(5) 参数 : -PP 

使 用 一 个 ICMP 的 时 间 戳 请 求 包 来 发 现 主机 。 

(6) 参数 : -PM 

用 法 与 -PI 和 -PP 相 类 似 , 除 了 需要 使 用 掩 码 。 

(7) 参数 : -PB 
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这 是 默认 的 ping 扫描 选项 。 它 使 用 ACK(-PT) 和 ICMP(-PI) 两 种 扫描 类 型 并 行 扫 
描 。 如 果 防 火 墙 能 够 过 滤 其 中 一 种 包 , 使 用 这 种 方法 就 能 够 穿 过 防火 墙 。 

(8) 参数 : -O 

这 个 选项 激活 对 TCP/IP 指纹 特征 (fingerprinting) 的 扫描 ,获得 远程 主机 的 标志 。 
也 就 是 说 nmap 使 用 一 些 技术 来 检测 目标 主机 操作 系统 网 络 协议 栈 的 特征 。nmap 使 用 
这 些 信息 建立 远程 主机 的 指纹 特征 ,把 它 和 已 知 的 操作 系统 指纹 特征 数据 库 做 比较 ,就 
可 以 知道 目标 主机 操作 系统 的 类 型 。 

(9) 参数 : -I 

这 个 选项 打开 nmap 的 反 向 标志 扫描 功能 。ident 协议 (rfc 1413) 人 允许 使 用 TCP 连 
接 给 出 任何 进程 拥有 者 的 用 户 名 ,即使 这 个 进程 并 没有 初始 化 连接 。 例 如 ,可 以 连接 到 
HTTP 端口 ,接着 使 用 identd 确定 这 个 服务 器 是 否 由 root 用 户 运 行 。 这 种 扫描 只 能 在 
同 目标 端口 建立 完全 的 TCP 连接 时 (例如 ,-sT 扫描 选项 ) 才 能 成 功 。 使 用 -I 选项 时 , 远 
程 主机 的 identd 守护 进程 就 会 查询 在 每 个 打开 的 端口 上 监听 的 进程 的 拥有 者 。 如 果 远 
程 主机 没有 运行 identd 程序 , 则 这 种 扫描 方法 无 效 。 

(10) 参数 : -f 

这 个 选项 使 nmap 使 用 碎片 IP 数据 包 发 送 SYN、FIN 和 NULL。 使 用 碎片 数据 包 
会 增加 包 过 滤 、 入 侵 检测 系统 的 难度 ,使 其 无 法 知道 入 侵 企 图 。 不 过 需要 慎重 使 用 这 个 
选项 ,有 些 程序 在 处 理 这 些 碎 片 包 时 会 有 麻烦 ,在 nmap 中 使 用 了 24 个 字 节 的 碎片 数据 
包 。 虽 然 包 过 滤器 和 防火 墙 不 能 防止 这 种 方法 ,但 是 有 很 多 网 络 出 于 性 能 上 的 考虑 , 禁 
止 数据 包 的 分 片 。 注 意 这 个 选项 不 能 在 所 有 的 平台 上 使 用 , 它 在 Linux、 FreeBSD、 
OpenBSD 以 及 其 他 一 些 UNIX 系统 能 够 很 好 工作 。 


(11) 参数 : -v 

宛 余 模式 。 使 用 这 个 选项 , 它 会 给 出 扫描 过 程 中 的 详细 信息 。 使 用 这 个 选项 ,可 以 
得 到 事半功倍 的 效果 。 使 用 -d 选项 可 以 得 到 更 加 详细 的 信息 。 

(12) 参数 : -h 

快速 参考 选项 ,用 于 列 出 主要 的 参数 选项 。 

(13) 参数 : -oN 

把 扫描 结果 重 定向 到 一 个 可 读 的 文件 logfilename 中 。 

(14) 参数 : -oX 

这 个 选项 将 扫描 结果 以 XML 的 方式 保存 到 文件 中 。 

(15) 参数 : -oG 


这 个 选项 将 扫描 结果 以 图 形 的 方式 保存 到 文件 中 。 

(16) 参数 : -oM 

把 扫描 结果 重 定向 到 logfilename 文件 中 ,这 个 文件 使 用 主机 可 以 解析 的 语法 。 可 以 
使 用 -oM -来 代替 logfilename, 这 样 输出 就 被 重 定向 到 标准 输出 stdout。 在 这 种 情况 下 ， 
正常 的 输出 将 被 覆盖 ,错误 信息 仍然 可 以 输出 到 标准 错误 stderr。 要 注意 ,如 果 同 时 使 用 
了 -v 选项 ,在 屏幕 上 会 打印 出 其 他 的 信息 。 

(17) 参数 : -append_output 
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这 个 选项 让 nmap 把 扫描 的 结果 附加 到 输出 文件 的 内 容 后 面 ,而 不 是 将 原来 的 内 容 
覆盖 。 

(18) 参数 : -resume 

某 个 网 络 扫描 可 能 由 于 control-C 或 者 网 络 损失 等 原因 被 中 断 , 使 用 这 个 选项 可 以 
使 扫描 接着 以 前 的 扫描 进行 。logfilename 是 被 取消 扫描 的 日 志文 件 , 它 必须 是 可 读 形 式 
或 者 机 器 可 以 解析 的 形式 。 而 且 接着 进行 的 扫描 不 能 增加 新 的 选项 ,只 能 使 用 与 被 中 断 
的 扫描 相同 的 选项 。nmap 会 接着 日 志文 件 中 的 最 后 一 次 成 功 扫描 进行 新 的 扫描 。 

(19) 参数 : -iL 

从 inputfilename 文件 中 读 取 扫描 的 目标 。 在 这 个 文件 中 要 有 一 个 主机 或 者 网 络 的 
列表 ,由 空格 键 \ 制 表 键 或 回 车 键 作为 分 割 符 。 如 果 使 用 -iL -, nmap 就 会 从 标准 输入 
stdin 读 取 主 机 名 字 。 可 以 从 指定 目标 一 节 得 到 更 加 详细 的 信息 。 

(20) 参数 : -iR 

让 nmap 自己 随机 挑选 主机 进行 扫描 。 这 个 对 于 抽样 统计 网 络 来 评估 不 同 的 情况 很 
有 用 ,如 果真 的 厌倦 使 用 , 试 着 用 nmap -sS -iR -p 80 去 发 现 一 些 Web 服务 器 来 测试 
二 下; 

(21) 参数 : -p 所 端口 范围 之 

这 个 选项 要 选择 进行 扫描 的 端口 号 范围 。 例 如 ,-p 23 表示 只 扫描 目标 主机 的 23 号 
端口 。-p 20-30,139,60000- 表 示 扫 描 20 到 30 号 端口 .139 号 端口 以 及 所 有 大 于 60000 
的 端口 。 在 默认 情况 下 ,nmap 扫描 从 1 到 1024 号 以 及 nmap-services 文件 (如 果 使 用 
RPM 软件 包 , 一 般 在 /usr/share/nmap/ 目 录 中 ) 中 定义 的 端口 列表 。 

(22) 参数 : -下 

快速 扫描 模式 ,只 扫描 在 nmap-services 文件 中 列 出 的 端口 ,显然 比 扫描 所 有 65535 
个 端口 要 快 。 

(23) 参数 : -D 

使 用 诱饵 扫描 方法 对 目标 网 络 /主机 进行 扫描 。 如 果 nmap 使 用 这 种 方法 对 目标 网 
络 进行 扫描 ,那么 从 目标 主机 /网 络 的 角度 来 看 ,扫描 就 像 从 其 他 主机 发 出 的 。 即 使 目标 
主机 的 IDS( 入 侵 检测 系统 ) 对 端口 扫描 发 出 报警 ,它们 也 不 可 能 知道 哪个 是 真正 发 起 扫 
描 的 地 址 ,哪个 是 无 束 的 。 这 种 扫描 方法 可 以 有 效 地 对 付 如 路 由 跟踪 、response-dropping 
等 积极 的 防御 机 制 ,能 够 很 好 地 隐藏 IP 地 址 。 每 个 诱饵 主机 名 使 用 逗号 分 割 开 , 也 可 以 
使 用 ME 选项 , 它 代 表 自 己 的 主机 ,和 诱饵 主机 名 混杂 在 一 起 。 如 果 把 ME 放 在 第 六 或 
者 更 靠 后 的 位 置 ,一 些 端口 扫描 检测 软件 几乎 不 会 显示 扫描 者 的 IP 地 址 。 如 果 不 使 用 
ME 选项 ,nmap 会 把 你 的 IP 地 址 随机 夹杂 在 诱饵 主机 之 中 。 用 来 作为 诱饵 的 主机 应 该 
正在 运行 或 只 是 偶尔 向 目标 发 送 SYN 数据 包 。 很 显然 ,如 果 在 网 络 上 只 有 一 台 主 机 运 
行 ,目标 很 轻松 地 就 会 确定 是 哪 台 主 机 进行 的 扫描 。 或 许 , 还 要 直接 使 用 诱饵 的 IP 地 址 
而 不 是 其 域名 ,这 样 诱饵 网 络 的 域名 服务 器 的 日 志 上 就 不 会 留 下 关于 扫描 者 的 记录 。 一 
些 端口 扫描 检测 软件 会 拒绝 路 由 试图 进行 端口 扫描 的 主机 。 如 果 这 样 ,需要 让 目标 主机 
和 一 些 诱 饵 断 开 链接 。 如 果 诱 饵 是 目标 主机 的 网 关 或 就 是 其 自己 时 ,会 给 目标 主机 造成 
很 大 问题 。 所 以 需要 慎重 使 用 这 个 选项 。 诱 饵 扫描 既 可 以 在 起 始 的 ping 扫描 也 可 以 在 


#@: 网 络 安全 策略 及 实施 ”81 


真正 的 扫描 状态 下 使 用 。 它 也 可 以 和 -O 选项 组 合 使 用 。 使 用 太 多 的 诱饵 扫描 能 够 减缓 
扫描 速度 甚至 可 能 造成 扫描 结果 不 正确 。 同 时 ,有 些 ISP 会 把 欺骗 包 过 滤 掉 ,虽然 现在 
大 多 数 的 ISP 不 会 对 此 进行 限制 。 

(24) 参数 : -S 二 IP_Address> 

在 一 些 情况 下 ,nmap 可 能 无 法 确定 源 地 址 (nmap 会 通知 ) 。 在 这 种 情况 下 ,可 以 使 
用 这 个 选项 给 出 扫描 者 的 IP 地 址 。 在 欺骗 扫描 时 ,也 使 用 这 个 选项 ,使 用 这 个 选项 可 以 
让 目标 认为 是 其 他 的 主机 对 自己 进行 扫描 。 

(25) 参数 : -e 二 interface 二 

告诉 nmap 使 用 哪个 接口 发 送 和 接受 数据 包 。nmap 能 够 自动 对 此 接口 进行 检测 ,如 
果 无 效 就 会 通知 。 

(26) 参数 : -g 二 portnumber 二 

设置 扫描 的 源 端 口 。 一 些 防 火 墙 和 包 过 滤器 的 规则 集 允许 源 端 口 为 DNS(53) 或 
FTP-DATA(20) 的 包 通 过 和 实现 连接 。 显 然 , 如 果 攻 击 者 把 源 端口 修改 为 20 或 53, 就 
可 以 摧毁 防火 墙 的 防护 。 在 使 用 UDP 扫描 时 , 先 使 用 53 号 端口 。 使 用 TCP 扫描 时 , 先 
使 用 20 号 端口 。 注 意 只 有 在 能 够 使 用 这 个 端口 进行 扫描 时 ,nmap 才 会 使 用 这 个 端口 。 
如 果 无 法 进行 TCP 扫描 ,nmap 会 自动 改变 源 端口 ,即使 使 用 了 -g 选项 。 

(27) 参数 : -n 

告诉 nmap 不 要 对 扫描 到 的 地 址 进行 反 向 解析 DNS, 这 可 以 加 快 扫描 速度 。 

(28) 参数 : -R 

告诉 nmap 总 是 要 对 扫描 到 的 目标 地 址 进行 反 向 解析 。 正 常情 况 下 ,这 个 只 在 目标 
主机 运行 时 起 作用 。 

(29) 参数 : -r 

告诉 nmap 不 要 打 乱 被 扫描 端口 的 顺序 。 

(30) 参数 : --randomize_hosts 

使 nmap 在 扫描 之 前 , 打 乱 每 组 扫描 中 的 主机 顺序 ,nmap 每 组 可 以 扫描 最 多 2048 台 
主机 。 这 样 ,可 以 使 扫描 更 不 容易 被 网 络 监视 器 发 现 ,尤其 和 --scan_delay 选项 组 合 使 
用 ,更 能 有 效 避 人 免 被 发 现 。 

(31) 参数 : -M 

设置 进行 TCP connect() 扫 描 时 ,最 多 使 用 多 少 个 套 接 字 进 行 并 行 的 扫描 。 使 用 这 
个 选项 可 以 降低 扫描 速度 ,避免 远程 目标 宕 机 。 

3) 适时 选项 

通常 ,nmap 在 运行 时 ,能 够 很 好 地 根据 网 络 特点 进行 调整 。 扫 描 时 ,nmap 会 尽量 减 
少 被 扫描 目标 检测 到 的 机 会 ,同时 尽 可 能 加 快 扫描 速度 。 然 而 ,nmap 默认 的 适时 策略 有 
时 候 不 太 适 合 所 扫描 的 目标 。 使 用 下 面 这 些 选项 ,可 以 控制 nmap 的 扫描 时 间 。 

(1) 参数 : -T 

设置 amap 的 适时 策略 。 主 要 的 模式 包括 : Paranoid, 为 了 避 开 IDS 的 检测 使 扫描 速 
度 变 得 极 慢 ,nmap 串 行 所 有 的 扫描 ,每 隔 至 少 5 分 钟 发 送 一 个 包 ; Sneaky, 类似 于 
Paranoid, 只 是 数据 包 的 发 送 间 隔 是 15 秒 ;Polite, 不 增加 太 大 的 网 络 负载 ,避免 宕 掉 目 标 
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主机 , 串 行 每 个 探测 ,并 且 使 每 个 探测 有 0. 4 秒 的 间隔 ;Normal, nmap 默认 的 选项 ,在 不 
是 网 络 过 载 或 者 主机 /端口 丢失 的 情况 下 尽 可 能 快速 地 扫描 ;Aggressive, 设 置 5 分 钟 的 
超时 限制 ,使 对 每 台 主 机 的 扫描 时 间 不 超过 5 分 钟 ,并 且 使 对 每 次 探测 回应 的 等 待 时 间 
不 超过 1. 5 秒 ;Insane, 只 适合 快速 的 网 络 或 者 不 在 意 丢 失 某 些 信息 时 ,每 台 主 机 的 超时 
限制 是 75 秒 ,对 每 次 探测 只 等 待 0. 3 秒 。 也 可 以 使 用 数字 来 代替 这 些 模式 ,例如 ,-T 0 
等 于 -T Paranoid;-T 5 等 于 -T Insane。 

这 些 适时 模式 不 能 和 下 面 的 适时 选项 组 合 使 用 。 

(2) 参数 : 一 host_timeout 

设置 扫描 一 台 主 机 的 时 间 , 以 毫秒 为 单位 。 默 认 的 情况 下 ,没有 超时 限制 。 

(3) 参数 : 一 max_rtt_timeout 

设置 对 每 次 探测 的 等 待 时 间 , 以 毫秒 为 单位 。 如 果 超 过 这 个 时 间 限 制 就 重 传 或 超 
时 。 默 认 值 是 大 约 9000 毫秒 。 

(4) 参数 : 一 min_rtt_timeout 

当 目 标 主 机 的 响应 很 快 时 ,nmap 就 缩短 每 次 探测 的 超时 时 间 。 这 样 会 提高 扫描 的 
速度 ,但 是 可 能 丢失 某 些 响应 时 间 比 较 长 的 包 。 使 用 这 个 选项 ,可 以 让 nmap 对 每 次 探测 
至 少 等 待 指定 的 时 间 ,以 毫秒 为 单位 。 

(5) 参数 ;一 initial_rtt_timeout 

设置 初始 探测 的 超时 值 。 一 般 这 个 选项 只 在 使 用 -P0 选项 扫描 有 防火 墙 保护 的 主机 
才 有 用 。 默 认 值 是 6000 毫秒 。 

(6) 参数 : -max_parallelism 

设置 最 大 的 并 行 扫描 数量 。--max_parallelism 1 表示 同时 只 扫描 一 个 端口 。 这 个 选 
项 对 其 他 的 并 行 扫描 也 有 效 ,例如 ,ping sweep 和 RPC scan。 

(7) 参数 : --scan_delay 

设置 在 两 次 探测 之 间 ,nmap 必须 等 待 的 时 间 。 这 个 选项 主要 用 于 降低 网 络 的 负载 。 

4) 目标 设 定 

在 nmap 的 所 有 参数 中 ,只 有 目标 参数 是 必须 给 出 的 。 其 最 简单 的 形式 是 在 命令 行 
直接 输入 一 个 主机 名 或 者 一 个 IP 地 址 。 如 果 和 希望 扫描 某 个 IP 地 址 的 一 个 子 网 ,可 以 在 
主机 名 或 IP 地 址 的 后 面 加 上 掩 码 。 掩 码 为 /0 表示 扫描 整个 网 络 , 如 果 是 /32 则 表示 仅 
扫描 这 个 主机 。 使 用 /24 扫描 C 类 地 址 ,/16 扫描 B 类 地 址 。 除 此 之 外 ,nmap 还 有 更 加 
强大 的 表示 方式 来 灵活 地 指定 IP 地 址 。 采 用 list/ranges 来 为 每 个 元 素 指 定 IP 地 址 。 
例如 ,要 扫描 某 个 B 类 网 络 128. 210. * . * ,可 以 使 用 下 面 三 种 方式 来 指定 这 些 地 址 : 
128. 210. * . * 、128. 210. 0-255. 0-255 或 者 128. 210. 0. 0/16 ,这 三 种 形式 是 等 价 的 。 

通过 详细 讲述 了 nmap 的 参数 后 .下面 结合 具体 例子 来 说 明 nmap 的 用 法 , 设 定 目标 
主机 为 target. example. com。 现 在 .让 nmap 开始 工作 。 


[roote test root]#rmap -V target-exarple-ccom 
扫描 主机 target. example. com 的 所 有 TCP 端口 。-v 打开 宛 余 模式 。 


[roctQ test root]#rmap - sS -O target .exanple.ocom/24 
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发 起 对 target. example. com 所 在 网 络 上 的 所 有 的 255 个 C 类 IP 地 址 的 秘密 SYN 
扫描 。 同 时 还 探测 每 台 主 机 操作 系统 的 指纹 特征 ,这 个 需要 root 权限 来 执行 。 


[roct test root]#rmap -sX-P 22,53,110,143, 4564 128.210.* .127 


对 B 类 IP 地 址 128.210 中 255 个 可 能 的 8 位 子 网 的 前 半 部 分 发 起 圣诞 树 扫描 。 确 
定 这 些 系统 是 否 打 开 了 sshd、DNS、pop3d、imapd 和 4564 端口 。 注 意 圣诞 树 扫描 对 
Microsoft 的 系统 无 效 , 因 为 其 协议 栈 的 TCP 层 有 缺陷 。 


[root® test root]#rmap -V 一 Iandomize hosts-p 80 * .* .2.35 


只 扫描 指定 的 IP 范围 ,有 时 用 于 对 这 个 Internet 进行 取样 分 析 。nmap 将 寻找 
Internet 上 所 有 后 两 个 字 节 为 .2.3、.2.4 或 .2.5 的 IP 地 址 上 的 Web 服务 器 。 如 果 想 发 
现 更 多 有 兴趣 的 主机 ,可 以 使 用 127-222 ,因为 在 这 个 范围 内 有 缺陷 的 主机 密度 更 大 。 


[rooctQ test root]#host -1 ompany.om | cut “d' -f 4 | rmap -V-i 


列 出 company. com 网 络 上 的 所 有 主机 ,让 nmap 进行 扫描 。 

注意 : 这 个 命令 在 GNU/Linux 下 使 用 。 如 果 在 其 他 平台 ,可 能 要 使 用 其 他 的 命令 
选项 。 现 在 Windows 系统 能 够 很 好 的 支持 nmap 的 运行 ,但 nmap 在 3.9 的 版 本 后 需要 
WinPcap 的 支持 ,用 户 可 以 先 安装 WinPcap 后 ,安装 运行 nmap。 此 外 ,有 些 防 病毒 软件 
(如 McAfee 防 病 毒 软件 ) 会 把 nmap 视 为 一 个 潜在 的 威 协 。 所 以 在 必要 的 情况 下 ,可 以 
选用 其 他 的 防 病毒 软件 以 保证 nmap 能 正常 运行 。 


3. 端口 扫描 的 防范 


由 于 对 目标 主机 进行 端口 扫描 非常 简单 和 方便 ,作为 系统 管理 员 或 普通 的 用 户 都 需 
要 时 刻 关 注 所 管理 的 机 器 的 端口 状况 ,要 最 大 限度 隐藏 端 口 状 况 ,减少 不 必要 的 安全 漏 
洞 。 防 范 主机 端口 的 非法 扫描 ,可 以 从 两 个 方面 下 手 解 决 ,一 个 是 主机 级 的 防范 ,一 个 是 
网 络 级 的 防范 。 对 于 主机 级 的 防范 ,又 可 以 从 下 面 两 个 方面 着 手 。 

1) 关闭 闲置 和 有 潜在 危险 的 端口 

这 个 方法 的 本 质 就 是 将 所 有 用 户 需 要 用 到 的 正常 计算 机 端口 以 外 的 其 他 端口 都 关 
闭 掉 ,因为 计算 机 的 所 有 对 外 通信 的 端口 都 存在 潜在 危险 ,如 果 管理 不 善 就 会 被 人 侵 者 
利用 ,成 为 人 侵 的 通道 。 在 Windows 系统 中 ,可 以 将 一 些 闲置 的 服务 关闭 掉 , 其 对 应 的 
端口 也 就 被 同时 关闭 了 。 进 入 “控制 面板 ”>“ 管 理工 具 ”->“ 服 务 ” 项 内 ,关闭 掉 计算 机 的 
一 些 没有 使 用 的 服务 (如 ftp 服务 .dns 服务 \iis admin 服务 等 ) ,它们 对 应 的 端口 也 被 停 
用 了 。 如 果 用 到 “只 开放 允许 端口 的 方式 ”, 可 以 利用 系统 网 络 设置 中 的 “tcp/ip 筛选 ” 功 
能 实现 “只 人 允许 ”系统 的 一 些 基 本 网 络 通信 需要 的 端口 即 可 。 

2) 对 无 法 关闭 的 端口 进行 监控 

有 些 端口 是 用 户 必需 要 用 到 的 ,而 靠 手工 进行 管理 是 不 现实 的 ,这 就 需要 借助 主机 
防火 墙 软件 配合 工作 。 主 机 防火 墙 会 首先 检查 每 个 到 达 用 户 计算 机 的 数据 包 , 在 这 个 数 
据 包 被 计算 机 上 运行 的 任何 软件 看 到 前 ,主机 防火 墙 有 完全 的 否决 权 , 可 以 禁止 用 户 计 
算 机 接收 任何 东西 。 当 第 一 个 请 求 建立 连接 的 包 被 计算 机 回应 后 ,一 个 tcp/ip 端口 被 打 


84 


Minats tian 


开 。 端 口 扫描 时 ,对 方 计算 机 不 断 和 本 地 计算 机 建立 连接 ,并 逐渐 打开 各 个 服务 所 对 应 
的 tcp/ip 端口 及 闲置 端口 。 防 火 墙 经 过 自 带 的 拦截 规则 判断 ,就 能 够 知道 对 方 是 否 正 进 
行 端口 扫描 ,并 拦截 掉 对 方 发 送 过 来 的 所 有 扫描 需要 的 数据 包 , 现 在 市 面 上 几乎 所 有 网 
络 防火 墙 软件 都 能 够 抵御 端口 扫描 。 

另外 ,由 于 源 地 址 伪造 是 扫描 技术 的 一 个 重要 组 成 部 分 , 源 地 址 伪造 是 网 上 众多 
DoS、DDoS 攻击 的 主要 方法 。 一 般 情况 下 ,可 以 通过 以 下 两 个 方面 来 做 好 网 络 级 的 防 
御 , 一 是 通过 路 由 器 (或 防火 墙 ) 过 滤 掉 源 地 址 是 内 部 网 络 的 外 来 包 ; 二 是 通过 路 由 器 (或 
防火 墙 ) 过 滤 掉 源 地 址 不 是 内 部 网 络 的 输出 包 。 除 此 之 外 .一 种 较 好 的 办 法 是 采用 入 侵 
检测 系统 (IDS) ,入 侵 检测 系统 处 于 防火 墙 之 后 对 网 络 活动 进行 实时 检测 。 许 多 情况 下 ， 
由 于 可 以 记录 和 禁止 网 络 活动 ,所 以 可 以 认为 入 侵 检测 系统 是 防火 墙 的 延续 。 它 们 可 以 
和 防火 墙 或 路 由 器 配合 工作 。 入 侵 检测 系统 扫描 当前 网 络 的 活动 ,监视 和 记录 网 络 的 流 
量 ,根据 定义 好 的 规则 来 过 滤 从 主机 网 卡 到 网 线 上 的 流量 ,提供 实时 报警 。 网 络 扫描 器 
只 能 检测 主机 上 先前 设置 的 漏洞 ,而 IDS 监视 和 记录 网 络 流量 .下面 就 一 种 常用 的 开源 
IDS 系统 进行 说 明 。 


4. snort 的 用 法 


入 侵 检测 系统 (IDS) 是 对 计算 机 和 网 络 系统 资源 上 的 恶意 使 用 行为 进行 识别 和 响应 
的 处 理 系 统 ,在 不 影响 网 络 性 能 的 前 提 下 ,对 网 络 进行 警戒 、 检 测 。 它 具有 监视 分 析 用 户 
和 系统 的 行为 ,审计 系统 配置 和 漏洞 .评估 敏感 系统 和 数据 的 完整 性 ,识别 攻击 行为 .对 
异常 行为 进行 统计 、 自 动 的 收集 与 系统 相关 的 补丁 、 进 行 审计 跟踪 、 识 别 违 反 安全 法 规 的 
行为 、 使 用 骗 诱 服务 器 记录 黑客 行为 等 功能 ,使 系统 管理 员 可 以 比较 有 效 地 监视 .审计 、 
评估 自己 的 系统 。 其 基本 功能 与 工作 流程 概括 来 说 具有 监控 ,分 析 用 户 和 系统 的 活动 ， 
核查 系统 配置 和 漏洞 ,评估 关键 系统 和 数据 文件 的 完整 性 ,识别 攻击 的 活动 模式 并 向 网 
管 人 员 报 警 , 对 异常 活动 的 统计 分 析 , 操 作 系 统 审计 跟踪 管理 ,识别 违反 政策 的 用 户 活 
动 ,并 可 用 来 评估 重要 系统 和 数据 文件 的 完整 性 。 

snort 是 目前 应 用 较为 广泛 的 一 个 IDS 产品 , 它 被 定位 为 一 个 轻 量 级 的 入 侵 检 测 系 
统 。 它 以 开放 源 代码 形式 发 行 ,最 初 由 Martin Roesch 编写 ,并 由 遍布 世界 各 地 的 众多 程 
序 员 共同 维护 和 升级 。 它 支持 多 种 系统 软 硬 件 平 台 , 如 RedHat Linux、Solari、 
FreeBSD NetBSD 以 及 MacOS X 等 。 与 许多 昂贵 且 庞 大 的 商用 系统 相 比 ,snort 系统 具 
有 系统 尺寸 小 .易于 安装 、 便 于 配置 、 功 能 强大 、 使 用 灵活 等 优点 。 它 采用 基于 规则 的 工 
作 方 式 , 对 于 数据 包 内 容 进行 规则 匹配 来 检测 许多 不 同 的 入 侵 行为 和 探测 活动 。 例 如 ， 
缓冲 区 溢出 、 隐 蔽 端口 扫描 `\ CGI 攻击.SMB 探测 等 。snort 的 工作 流程 可 分 成 数据 采集 、 
数据 分 析 和 做 出 响应 三 部 分 。 它 首先 采集 来 自 网 络 系统 不 同 节点 (不 同 子 网 和 不 同 主 
机 ) 但 隐藏 了 网 络 人 侵 行为 的 数据 ,如 系统 日 志 、 网 络 数据 包 、 文 件 与 用 户 活动 的 状态 和 
行为 。 接 着 通过 模式 匹配 .异常 检测 或 完整 性 分 析 等 技术 ,对 数据 进行 分 析 以 寻找 入 侵 。 
一 旦 发 现 人 侵 ,IDS 就 进入 响应 过 程 , 并 在 日 志 、 告 警 和 安全 控制 等 方面 做 出 反应 。 

snort 可 以 实现 对 实时 通信 分 析 和 信息 包 记 录 , 对 数据 包 有 效 载荷 检查 ,进行 协议 分 
析 和 内 容 查 询 匹 配 ,可 以 探测 缓冲 溢出 、 秘 密 端口 扫描 、CGI 攻击 SMB 探测、 操作 系统 入 
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侵 尝试 。 并 可 以 对 系统 日 志 、 指 定 文件 .UNIX Socket 或 通过 Samba 的 WinPopus 进行 
实时 报警 。snort 有 三 种 主要 工作 模式 : 嗅 探 器 (Sniffer) .记录 器 (Logger) 或 人 侵 探测 系 
统 (IDS) 。 

下 面 讲 述 Linux 平台 下 snort 的 应 用 与 配置 .在 Linux 环境 下 需要 事先 安装 多 种 软 
件 构建 支持 环境 才能 使 用 snort, 如 zlib,LibPcap,MySQL,Apache 和 PHP4 等 。 安 装 过 
程 比较 复杂 ,这 里 着 重 讲述 其 如 何 应 用 ,有 关 安 装 的 内 容 可 以 参考 相关 内 容 。 

1) snort 规则 

snort 规则 库 是 不 断 更 新 的 ,可 以 在 www. snort. org 上 下 载 到 最 新 的 snort 规则 库 。 
snort 使 用 一 种 简单 的 轻 量 级 的 规则 描述 语言 来 描述 它 的 规则 配置 信息 ,灵活 而 强大 。 
在 版 本 1.8 之 前 snort 规则 必须 写 在 一 个 单行 上 ,在 现在 的 版 本 里 可 以 用 “\’ 来 进行 
折 行 。 

snort 规则 分 成 两 个 迎 辑 部 分 : 规则 头 和 规则 选项 。 规 则 头 包 含 规则 的 动作 、 协 议 、 
源 和 目标 IP 地 址 与 网 络 掩 码 以 及 源 和 目标 端口 信息 。 规 则 选项 部 分 包含 报警 消息 内 容 
和 要 检查 的 包 的 具体 部 分 。 下 面 是 一 个 规则 范例 。 


alert tqp any any -> 192.168.1.0/24 111 (content: "|00 01 86 a5|"; msg: "mountd acoess";) 


括号 前 的 部 分 是 规则 头 ,括号 内 的 部 分 是 规则 选项 。 规 则 选项 部 分 中 冒号 前 的 单词 
称 为 选项 关键 字 。 

注意 : 不 是 所 有 规则 都 必须 包含 规则 选项 部 分 ,选项 部 分 只 是 为 了 使 对 要 收集 、 报 警 
或 丢弃 的 包 的 定义 更 加 严格 。 组 成 一 个 规则 的 所 有 元 素 对 于 指定 的 要 采取 的 行动 都 必 
须 是 真 的 。 当 多 个 元 素 放 在 一 起 时 ,可 以 认为 它们 组 成 了 一 个 逻辑 与 (AND) 语 和 句 。 同 
时 ,snort 规则 库 文件 中 的 不 同 规则 可 以 认为 组 成 了 一 个 大 的 逻辑 或 (DOR) 语句 。 以 下 面 
一 条 规则 为 例 进行 说 明 。 


alert tap $ EXIFFNAL NET any — > $ SQL SERVERS 3306 (msg: "MYSQL root login attenpt"; flow: to_server, 

established; content: "|0R 00 00 01 85 04 00 00 801 root| 00|"; classtype: protocol-ccmand decode; sid: 

1775;rev: 2;) 

它 表 示 从 外 部 网 络 的 任意 端口 访问 mysql 服务 器 的 3306 端口 时 ,如 果 数 据 流 里 匹 
配 到 内 容 0A 00 00 01 85 04 00 00 80 root 00( 其 中 数字 表示 二 进 制 字 节 码 ) ,那么 就 在 记 
录 中 或 报警 “MYSQL root login attempt”。 通 过 对 snort 规则 的 分 析 , 可 以 看 出 其 实 
snort 规则 中 除了 IP 地 址 和 端口 号 以 外 ,最 重要 的 还 是 模式 匹配 的 内 容 , 即 关键 字 
content 中 包含 的 内 容 。 要 提交 漏洞 攻击 代码 和 工具 被 利用 时 符合 snort 格式 的 网 络 检 
测 特征 ,应 该 就 是 攻击 代码 中 的 特征 字段 。 

通过 对 特征 规则 以 及 资料 的 分 析 ,发 现 可 以 在 运行 攻击 代码 时 用 sniffer 工具 来 截获 
数据 包 , 然 后 根据 数据 包 的 解码 内 容 来 分 析 特 征 字 段 ,提取 匹配 的 要 点 ,然后 用 snort 中 
的 关键 字 来 书写 规则 ,这 样 就 得 到 了 snort 的 特征 规则 。 

2) snort 的 工具 和 规则 制定 

snort 有 三 种 工作 模式 : 一 是 嗅 探 器 模式 (Sniffer Mode) ,其 作用 是 从 网 络 中 抓 取 数 
据 包 ;二 是 分 组 日 志 模 式 (packet logger Mode) ,其 作用 是 将 数据 包 记 录 到 硬盘 日 志 中 ; 
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三 是 网 络 人 侵 检测 模式 (network intrusion detection system Mode) ,其 作用 是 分 析 网 络 
中 传输 的 数据 并 与 人 侵 规则 库 相 匹配 来 发 现 人 侵 行为 。 无 论 哪个 工作 模式 都 是 用 命令 
完成 的 ,在 具体 介绍 这 些 工作 模式 如 何 工 作 前 , 先 介绍 一 下 关于 snort 的 命令 。 由 于 
snort 有 比较 多 的 命令 选项 和 参数 ,要 熟练 使 用 snort 就 必须 掌握 这 些 选 项 。 其 通用 形 
式 为 。 


snort - [options] 


各 个 参数 功能 如 下 。 

-A: 选择 设置 警报 的 模式 为 full fast\unsock 和 none。full 模式 是 默认 模式 , 它 记 录 
标准 的 alert 模式 到 alert 文件 中 ;fast 模式 只 记录 时 间 戳 .消息 .IP 地 址 和 端口 信息 到 文 
件 中 ;unsock 模式 是 发 送 到 UNIX socket; none 模式 是 关闭 报警 。 

-a: 显示 ARP 包 。 

-b: 以 tcpdump 格式 记录 LOG 的 信息 包 , 所 有 信息 包 都 被 记录 为 二 进 制 形 式 。 用 这 
个 选项 记录 速度 相对 较 快 ,因为 它 不 需要 将 信息 转化 为 文本 。 

-c: 使 用 配置 文件 。 这 个 规则 文件 是 告诉 系统 信息 是 要 记录 日 志 , 还 是 报警 或 是 

-C: 只 用 ASCII 码 来 显示 数据 报 文 负载 ,不 用 十 六 进 制 。 

-d: 显示 应 用 层 数 据 。 

-D: 以 守护 进程 的 形式 运行 。 默 认 情 况 下 警报 将 被 发 送 到 /var/log/snort. alert 文 
件 中 去 。 

-e: 显示 并 记录 第 二 层 信息 包头 的 数据 。 

-下 : 从 文件 中 读 BPF 过 滤器 (filters) 。 

-g: 程序 初始 化 后 使 用 用 户 组 标志 (group ID)。 这 种 转换 使 得 snort 不 必 在 初始 化 
时 必须 使 用 root 用 户 权 限 , 从 而 提高 了 系统 的 安全 性 。 

-h: 使 用 这 个 选项 snort 会 用 箭头 的 方式 表示 数据 进出 的 方向 。 

-i: 在 网 络 接口 上 监听 。 

-I: 添加 第 一 个 网 络 接口 名 字 到 警报 输出 。 

-1: 把 日 志 信息 记录 到 目录 中 去 。 

-L: 设置 二 进 制 输出 的 文件 名 。 

-m: 设置 所 有 snort 输出 文件 的 访问 掩 码 。 

-M: 发 送 WinPopup 信息 到 包含 文件 中 的 工作 站 列表 中 去 ,此 选项 需要 Samba 的 
支持 。 

-n: 是 指定 在 处 理 若 干 个 数据 包 后 退出 。 

-N: 关闭 日 志 记 录 , 但 ALERT 功能 仍旧 正常 工作 。 

-0: 改变 规则 应 用 到 数据 包 上 的 顺序 ,正常 情况 下 采用 Alert>Pass 习 Log order, 而 
采用 此 选项 后 的 顺序 是 Pass 一 Alert 一 Log order。 其 中 Pass 是 那些 允许 通过 的 规则 ， 
ALERT 是 不 允许 通过 的 规则 ,LOG 指 日 志 记录 。 

-O: 使 用 ASCII 码 输出 模式 时 ,本 地 网 IP 地 址 被 代替 成 非 本 地 网 IP 地 址 。 
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-p: 关闭 混杂 (Promiscuous) 嗅 探 方 式 。 
-P: 设置 snort 的 抓 包 截 断 长 度 。 
-r: 读 取 tcpdump 格式 的 文件 。 
-s: 把 日 志 警 报 记 录 到 syslog 文件 。 在 Linux 中 警告 信息 会 记录 在 /var/log/ 
secure, 在 其 他 平台 上 将 记录 在 /var/log/message 中 。 
-S: 设置 变量 n=v 的 值 ,用 来 在 命令 行 中 定义 snort rules 文件 中 的 变量 ,如 要 在 
snort rules 文件 中 定义 变量 HOME_NET, 可 以 在 命令 行 中 给 它 预定 义 值 。 
-t: 初始 化 后 改变 snort 的 根 目录 到 目录 。 
-T: 进入 自 检 模 式 ,snort 将 检查 所 有 的 命令 行 和 规则 文件 是 否 正确 。 
-u: 初始 化 后 改变 snort 的 用 户 ID 到 指定 值 。 
-v: 显示 TCP/IP 数据 包头 信息 。 
-V: 显示 snort 版 本 并 退出 。 
-y: 在 记录 数据 包 信息 的 时 间 戳 上 加 上 年 份 。 
-?: 显示 snort 简要 的 使 用 说 明 并 退出 。 
除了 少数 几 个 不 常用 的 命令 ,大 部 分 的 命令 都 在 这 里 。 掌 握 这 些 命令 后 ,可 以 根据 
自己 的 需要 来 选择 使 用 不 同 的 工作 模式 。 下 面 来 看 看 这 三 种 工作 模式 是 如 何 具 体 工 
作 的 。 
3) snort 的 工作 模式 
(1) 嗅 探 器 模式 
snort 使 用 Libpcap 包 捕 获 库 , 即 TCPDUMP 使 用 的 库 。 在 这 种 模式 下 ,snort 使 用 
网 络 接口 的 混杂 模式 读 取 并 解析 共享 信道 中 的 网 络 分 组 。 
[root@ localhost root]#snort -v 
显示 TCP/IP 等 的 网 络 数据 包头 信息 在 屏幕 上 。 
举例 如 下 。 
[root@ localhost root]#snort -vd 
显示 较 详细 的 包括 应 用 层 数据 传输 的 信息 。 
[root@ localhost root]#snort -vae 
显示 更 详细 的 包括 数据 链 路 层 的 数据 信息 。 
(2) 日 志 模 式 
上 面 介绍 的 嗅 探 器 模式 的 几 个 命令 都 只 把 信息 显示 在 屏幕 上 ,而 如 果 要 把 这 些 数据 
信息 记录 到 硬盘 上 的 指定 目录 中 , 那 就 需要 使 用 Packet Logger 模式 。 


[root@ localhost root]#snort -vde -1 ./log 


把 snort 抓 到 的 数据 链 路 层 、TCP/IP 报头 、 应 用 层 的 所 有 信息 存 入 当前 文件 夹 的 
log 目录 中 。 这 里 的 log 目录 可 以 根据 自己 的 需要 而 更 换 。 


[root@ localhost root]#snort -vde -1 ./log -h 192.168.1.0/24 
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记录 192. 168. 1. 0/24 这 个 C 类 网 络 的 所 有 进 站 数据 包 信息 到 log 目录 中 去 ,log 目 
录 中 的 子 目录 按 计 算 机 的 IP 地 址 来 命名 。 


[root@ localhost root]#snort -1 ./1log -b 


记录 snort 抓 到 的 数据 包 并 以 TCPDUMP 二 进 制 的 格式 存放 到 log 目录 中 去 ,而 
snort 一 般 默认 的 日 志 形式 是 ASCII 文本 格式 。ASCII 文本 格式 便于 阅读 ,二 进 制 的 格 
式 转化 为 ASCII 文本 格式 无 疑 会 加 重工 作 量 。 所 以 在 高 速 的 网 络 中 ,由 于 数据 流量 大 
大 ,应 该 采用 二 进 制 的 格式 。 


[root@ localhost root]#snort -dvr Packet.1log 


此 命令 不 是 存储 日 志 , 而 是 读 取 *packet. log” 日 志 中 的 信息 到 屏幕 上 。 

(3) 网 络 入 侵 检 测 模 式 (NIDS) 

网 络 人 侵 检测 模式 是 用 户 最 常用 到 的 模式 ,是 用 户 需 要 掌握 的 重点 。 这 种 模式 其 实 
混合 了 嗅 探 器 模式 和 分 组 日 志 模 式 , 并 且 需 要 载 人 规则 库 才 能 工作 。 


[root@ localhost root]#snort -vae -1 ./1og -h 192.168.1.0/24 -c snort.conf 


载 和 人 snort. conf 配置 文件 ,并 将 192. 168. 1. 0/24 网 段 的 报警 信息 记录 到 . /log 中 
去 。 这 里 的 snort. conf 文件 可 以 换 成 自己 的 配置 文件 。 载 入 snort. conf 配置 文件 后 ， 
snort 将 会 应 用 在 snort. conf 中 的 规则 去 判断 每 一 个 数据 包 以 及 性 质 。 如 果 没 有 用 参数 
一 1 指定 日 志 存 放 目 录 , 系 统 默认 将 报警 信息 放 入 /var/log/snort 目录 下 。 如 果 没 有 记 
录 链 路 层 数据 的 需要 或 要 保持 snort 的 快速 运行 ,可 以 把 -v 和 -e 关 掉 。 

关于 网 络 入 侵 检测 模式 ,还 有 一 个 地 方 要 注意 的 是 它 的 警报 输出 选项 ,在 前 面 已 经 
介绍 了 snort 有 多 种 警报 的 输出 选项 ,这 里 再 具体 讲 讲 如 何 使 用 。 


[root@ localhost root]#snort -A fast -1 ./1og -h 192.168.1.0/24 -c snort.conf 


载 入 snort. conf 配置 文件 ,启用 fast 警报 模式 ,以 默认 ASCII 格式 将 192. 168. 1. 0/ 
24 网 段 的 报警 信息 记录 到 . /log 中 去 。 这 里 的 fast 可 以 换 成 full 或 none 等 ,但 在 大 规 
模 高 速 网 络 中 最 好 用 fast 模式 。 


[root@ localhost root]#snort -s -b-1 ./1og -h 192.168.1.0/24 -c snort.conf 


以 二 进 制 格式 将 警报 发 送 给 syslog ,其余 的 与 上 面 的 命令 一 样 。 要 注意 的 是 警报 的 
输出 模式 虽然 有 六 种 ,但 用 参数 -A 设置 的 只 有 4 种 ,输出 到 syslog 用 参数 -s,smb 模式 使 
用 参数 -M。 


332 网 络 监听 原理 及 其 工具 


网 络 监 听 工 具 又 被 称 为 嗅 探 器 (Sniffer) , 它 是 一 种 利用 计算 机 网 络 接口 截获 目的 计 
算 机 数据 报 文 的 技术 ,其 目的 就 是 截获 通信 的 内 容 ,其 手段 是 对 协议 进行 分 析 。 由 于 网 
络 监 听 操 作 简单 ,很 多 入 侵 者 利用 它 来 进行 网 络 入 侵 渗透 。 网 络 监 听 对 于 安全 的 威胁 来 
自 于 其 被 动 性 和 非 干 扰 性 , 它 往 往 让 网 络 信息 泄密 变 得 不 容易 发 现 。 监 听 器 工作 在 网 络 
的 底层 ,在 某 个 广播 域 中 进行 数据 包 监听 , 它 将 网 络 传输 的 数据 记录 下 来 ,管理 员 可 以 利 
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用 这 些 记录 分 析 流 量 ,查找 网 络 漏洞 .检测 网 络 性 能 ,以 便 找 出 网 络 中 可 能 存在 的 安全 问 
题 。 而 人 侵 者 同样 也 能 通过 对 这 些 捕获 的 数据 进行 分 析 , 从 而 获得 网 络 上 传输 的 一 些 重 
要 信息 ,特别 是 用 户 的 密码 。 事 实 上 ,很 多 黑客 入 侵 时 都 把 局 域 网 扫描 和 监听 作为 实施 
和信 侵 的 最 基本 步骤 和 手段 ,试图 用 这 种 方法 获取 用 户 的 密码 等 信息 。 此 外 ,如 果 要 对 入 
侵 活 动 和 其 他 网 络 犯罪 进行 侦查 .取证 时 ,也 可 以 使 用 网 络 监听 技术 来 获取 必要 的 信息 ， 
所 以 了 解 网 络 监听 的 技术 原理 、 实 现 方法 和 防范 措施 ,对 于 网 络 安全 管理 是 非常 重要 的 。 

Sniffer 软件 本 身 处 于 数据 链 路 层 之 上 , 同 物理 层 和 数据 链 路 层 无 关 。 因 此 ,Sniffer 
软件 可 以 运行 在 各 种 数据 链 路 层 的 协议 和 物理 传输 介质 上 ,如 图 3-11 所 示 。 不 同 传输 介 
质 的 网 络 可 监听 性 是 不 同 的 ,由 于 以 太 网 是 一 个 广 
播 型 的 网 络 , 所 以 其 被 监听 的 可 能 性 比较 高 。 
FDDI Token 尽管 并 不 是 一 个 广播 型 网 络 , 但 带 有 
令 牌 的 那些 数据 包 在 传输 过 程 中 ,平均 要 经 过 网 络 5 三 
上 一 半 的 计算 机 ,所 以 其 被 监听 的 可 能 性 也 比较 。 ”交换 信息 交换 信息 
高 。 微 波 和 无 线 网 被 监听 的 可 能 性 同样 比较 高 , 因 
为 无 线 电 本 身 是 一 个 广播 型 的 传输 介质 ,弥散 在 空 
中 的 无 线 电 信号 可 以 被 很 轻易 的 截获 。 一 般 情况 
下 ,大 多 数 的 Sniffer 系统 能 够 分 析 TCP/IP、IPX、 
DECNET、FDDI Token 及 微波 和 无 线 网 。 

由 于 以 太 网 目前 应 用 最 为 广泛 , 故 重点 分 析 以 
太 网 的 监听 原理 与 应 用 。 在 以 太 网 中 ,所 有 的 通信 
都 是 广播 的 ,也 就 是 说 通常 在 同一 个 网 段 的 所 有 网 络 接口 都 可 以 访问 在 物理 媒体 上 传输 
的 所 有 数据 。 每 一 个 网 络 接口 都 有 一 个 唯一 的 硬件 地 址 ,这 个 硬件 地 址 也 就 是 网 卡 的 
MAC 地 址 ,大 多 数 系统 使 用 48 比特 的 地 址 ,这 个 地 址 用 来 表示 网 络 中 的 每 一 个 设备 。 
一 般 来 说 每 一 块 网 卡 上 的 MAC 地 址 都 是 不 同 的 ,在 硬件 地 址 和 IP 地 址 间 使 用 ARP 和 
RARP 协议 进行 相互 转换 。 在 正常 的 情况 下 ,一 个 网 络 接口 只 响应 与 自己 硬件 地 址 相 匹 
配 的 数据 帧 和 发 向 所 有 机 器 的 广播 数据 帧 。 当 网 卡 接收 到 传输 来 的 数据 ,网 卡 内 的 单 片 
程序 会 接收 数据 帧 的 目的 MAC 地 址 ,根据 网 卡 驱动 程序 设置 的 接收 模式 判断 该 不 该 接 
收 , 如 认为 该 接收 就 接收 ,然后 产生 中 断 信 号 通知 CPU ,如 认为 不 该 接收 就 丢掉 不 管 , 因 
此 ,不 该 接收 的 数据 网 卡 就 截断 了 ,计算 机 根本 就 不 知道 。CPU 得 到 中 断 信 号 产生 中 断 ， 
操作 系统 就 根据 网 卡 驱动 程序 设置 的 网 卡 中 断 程 序 地 址 调用 驱动 程序 接收 数据 ,驱动 程 
序 接收 数据 后 放 入 信号 堆栈 让 操作 系统 处 理 。 而 对 于 网 卡 来 说 一 般 有 四 种 接收 模式 。 

(1) 广播 方式 : 该 模式 下 的 网 卡 能 够 接收 网 络 中 的 广播 信息 。 

(2) 组 播 方式 : 设置 在 该 模式 下 的 网 卡 能 够 接收 组 播 数据 。 

(3) 直接 方式 : 在 这 种 模式 下 ,只 有 目的 网 卡 才能 接收 该 数据 。 

(4) 混杂 模式 : 在 这 种 模式 下 ,网 卡 能 够 接收 一 切 通过 它 的 数据 ,而 不 管 该 数据 是 否 
是 传 给 它 的 。 

Sniffer 将 以 太 网 卡 设置 成 混杂 模式 来 捕获 网 络 上 所 有 的 报 文 和 数据 帧 。 通 过 网 络 
监听 这 些 数据 ,可 以 从 中 捕获 用 户 密码 ,捕获 专用 的 或 者 机 密 的 信息 ,可 以 用 来 危害 网 络 


客户 机 B 


监听 流 过 该 主机 
的 所 有 数据 包 


图 3-11 Sniffer 在 以 太 网 下 的 工作 原理 
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应 用 的 安全 ,当然 也 可 以 用 来 获取 更 高 级 别 的 访问 权限 以 及 分 析 网 络 结构 ,进行 网 络 渗 
透 。 在 实际 的 应 用 中 ,Sniffer 分 为 硬件 和 软件 两 种 。Sniffer 硬件 通常 称 为 协议 分 析 仪 ， 
从 协议 分 析 仪 发 展 的 角度 来 说 ,如 何 对 这 些 捕获 到 的 数据 进行 分 析 、 分 类 统计 和 发 现 并 
报告 错误 是 网 络 管理 过 程 中 更 需要 关注 的 问题 。 网 络 维护 人 员 越 来 越 需要 使 用 功能 强 
大 并 能 将 多 种 网 络 测试 手段 集 于 一 身 的 综合 式 测试 分 析 手 段 ,典型 的 协议 分 析 仪 上 的 功 
能 延展 就 是 加 入 网 管 功能 .自动 网 络 信息 搜集 功能 、 智 能 的 专家 故障 诊断 功能 ,并 且 移 动 
性 能 要 有 效 。 这 种 综合 的 协议 分 析 仪 或 者 说 是 综合 的 网 络 分 析 仪 成 为 了 当今 网 络 维护 
和 测试 仪 的 主要 发 展 趋势 , 像 Fluke 的 协议 分 析 仪 在 网 络 现场 分 析 、 故 障 诊断 和 网 络 维 
护 方法 得 到 了 相当 广泛 的 应 用 和 发 展 。 随 着 网 络 维护 规模 的 加 大 ,以 及 网 络 技术 的 变 
化 ,网 络 关键 数据 的 采集 也 越 来 越 困 难 。 有 时 为 了 分 析 和 采集 数据 ,必须 能 在 异地 同时 
地 进行 采集 ,于 是 要 将 协议 分 析 仪 的 数据 采集 系统 独立 开 来 ,能 安置 在 网 络 的 不 同 地 方 ， 
由 能 控制 多 个 采集 器 的 协议 分 析 仪 平台 进行 管理 和 数据 处 理 , 这 种 应 用 模式 就 诞生 了 分 
布 式 协议 分 析 仪 。 通 常 这 种 方式 的 分 析 仪 造价 非常 高 ,从 一 定 程度 上 限制 了 普通 网 络 管 
理 人 员 的 使 用 ,图 3-12 为 OptiView Series 亚 分 析 仪 。 

尽管 Sniffer 软件 往往 无 法 捕获 网 络 上 所 有 的 传输 
数据 (比如 碎片 数据 ) ,无 法 全 面 了 解 网 络 的 故障 和 运 
行情 况 。 但 其 易于 使 用 ,价格 便宜 ,而 且 还 有 许多 是 开 
放 源 代码 的 开源 软件 ,因此 Sniffer 软件 在 网 络 管理 中 
得 到 了 更 为 广泛 的 应 用 ,如 Windows 系统 下 的 Sniffer 
Pro 和 NetXRay, Solaris 下 的 Nfswatch 以 及 UNIX/ 
Linux 下 的 Tcpdump 和 Sniffit 等 。Sniffer 软件 应 用 
广泛 ,种 类 也 较 多 ,下 面 介绍 几 种 常用 的 Sniffer 软件 工 图 312 OpHViey Series 下 分 析 仪 
有 具 的 使 用 方法 。 


1. Sniffer Pro 


Sniffer Pro 是 美国 Network Associates 公司 出 品 的 一 款 强大 的 网 络 分 析 工 具 软 件 ， 
在 网 络 管理 中 得 到 了 应 用 广泛 ,是 传统 的 网 络 管理 工具 。 利 用 这 个 工具 ,能 够 捕获 网 
络 数据 包 来 进行 详细 分 析 ,使 用 专家 系统 对 网 络 故障 进行 诊断 ,可 实时 监控 网 络 运行 
状况 ,可 以 对 网 络 中 单独 的 工作 站 ,会话 或 其 他 部 分 挑选 详细 的 使 用 与 差错 统计 ,可 以 
保存 历史 记录 来 进行 基础 分 析 , 还 可 以 产生 可 视 与 可 听 的 实时 报警 来 通知 管理 员 , 可 
以 使 用 内 置 的 工具 软件 模拟 网 络 流量 ,测量 响应 时 间 等 来 刺探 网 络 。Sniffer Pro 可 以 
让 用 户 运行 多 个 程序 及 其 工具 的 实例 ,还 可 以 与 其 他 Windows 应 用 程序 同时 运行 。 由 
于 它 采 用 了 直观 的 Windows 用 户 界面 , 它 的 学 习 和 使 用 比较 简单 ,下 面 将 详细 介绍 其 
使 用 及 配置 方法 。 

1) 系统 的 安装 与 运行 

Sniffer Pro 软件 安装 在 Windows 操作 系统 上 ,安装 过 程 简单 。 在 系统 安装 提示 完成 
后 ,运行 程序 后 出 现 图 3-13 所 示 的 主 界 面 。 需要 在 进行 流量 捕获 之 前 先 选择 网 络 适 配 
器 ,确定 从 计算 机 的 哪个 网 络 适配器 上 接收 数据 。 一 般 第 一 次 启动 软件 时 ,会 自动 要 求 
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选择 相应 的 网 络 适配器 ,还 可 以 通过 File~>select settings 来 进行 选择 ,如 图 3-14 所 示 。 
只 有 选择 了 网 络 适 配器 后 才能 正常 工作 ,如 果 需 要 也 可 以 选择 拨号 适配器 对 罕 带 拨号 进 
行 操作 。 如 果 安 装 了 EnterNet500 等 PPPOE 软件 还 可 以 选择 虚拟 出 的 PPPOE 网 卡 。 
安装 在 Windows 2000/XP 上 的 无 上 述 功能 ,这 和 具体 的 操作 系统 有 关 。 

Sniffer Pro 栏目 上 的 目录 菜单 包括 “文件 ”“ 监 控 ”"“ 捕 获 ”“ 显 示 ”“ 工 具 ”“ 数 据 
库 ”“ 窗 口 "? 和 “帮助 ”8 大 部 分 。 在 相应 的 目录 菜单 下 .可 以 根据 需要 对 一 些 选项 进行 配 
置 。 单 击 * 开 始 ? 按 钮 ,程序 会 开始 对 包 进 行 捕获 。 


Sni ffer Portable — 


Local, Ethernet (Line speed stli00 [= Ed 
File Monitor Capture Display Tools Database Window JHelp 


[5 ss) S| oer 习 | 
瑟 | 日 | 全 | 急 | 全 | 中 | 刘 | 到 | 泊 | 人 | 罗 | 支 | 多 | 加 | 


For Help, press FL 二 发 和 
图 3-13 Sniffer Pro 控制 面板 


FE 
Select Settings | 


Select settings for monitoring: 


Local 
EBlIntel (R) PEO/1000 WT Wobile 


New... | 
Edit | 
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到 厂 Log 0fE 


Current medium Ethernet 802_3 
Line 100 Mbps 


3-14 选择 网 络 适 配器 


2) 监控 网 络 运行 

网 络 监视 功能 能 够 时 刻 监视 网 络 ,统计 网 络 上 资源 的 利用 率 , 并 能 够 监视 网 络 流量 
的 异常 状况 。 这 里 只 介绍 一 下 Dashboard 和 ART, 其 他 功能 比较 简单 可 以 参看 在 线 帮助 
或 直接 使 用 即 可 。 可 以 通过 快捷 键 进入 Dashboard( 仪 表盘 ) 选 项 ,如 图 3-15 所 示 。 利用 
Dashboard 可 对 网 络 运 行 状况 进行 实时 查看 .如 系统 利用 率 、 转 发 率 和 出 错 率 。 还 可 以 提 
供 详细 的 网 络 统计 报表 ,当然 也 可 以 方便 地 选择 需要 显示 的 数据 ,如 丢 包 率 .比特 率 等 。 
Sniffer Pro 还 提供 了 丰富 的 显示 与 统计 功能 .例如 .可 以 通过 选择 “监控 ”一 “全 局 状态 ” 
来 查看 数据 包 的 大 小 分 布 , 提 供 了 条 状 图 和 人 饼 图 来 进行 显示 。 系 统 还 提供 了 主机 表 , 用 
以 实时 显示 主机 进出 数据 包 的 大 小 、 差 错 率 等 ,可 以 查看 IP、IPX、SDLC、ATMCNX 等 。 


2 MM 防 算 机 冈 给 穷 全 安 用 技术 


可 以 通过 选择 需要 显示 的 节点 数 ,默认 情况 下 系统 显示 10 个 流量 最 大 的 节点 。 


Dashboard =l9 


© Short Term © Long Term 
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口 Size Distribution 


图 3-15 Dashboard 显示 


Sniffer Pro 还 能 通过 Matrix( 和 矩阵 ) 显 示 网 络 流量 ,可 以 通过 地 图 或 表格 来 测量 网 络 
流量 ,显示 目的 地 址 和 源 地 址 的 IP 或 MAC, 如 图 3-16 和 图 3-17 所 示 。 还 能 统计 出 流量 
高 的 10 个 会 话 , 通 过 流量 分 析 可 以 对 网 络 状况 进行 一 个 简单 的 了 解 


x : T Conversations 


Tramic Map 


[ 医 | 时 |@| 臣 le| 癌 名 | 


图 
光 


图 3-16 ”地 图 方式 显示 


除了 显示 网 络 流量 外 ,系统 还 提供 基于 网 络 层 的 协议 (如 IPX/SPX、TCP/IP、 
NetBIOS 等 ) 的 实时 显示 ,并 支持 TCP/IP 应 用 分 布 图 .还 能 监控 一 些 流 行 的 应 用 ,如 
FTP、HTTP Telnet\SMTP、POP 等 。 当 然 ， 0 IPX 和 ATM 也 能 提供 相应 的 统计 查 
看 功能 。 通 过 查看 协议 分 布 快捷 按钮 ,就 能 以 条 状 图 、 饼 图 或 表 的 格式 对 各 种 协议 应 用 


人 @: 网 络 安全 策略 及 实施 。 93 


S| | 加 Packets [局 byes [加 忆 可 
一 加 19216803 3 198 0 0 加 2102919232 
全 | 加 13216803 4 543 0 0 加 1921680255 
[S|| 19216803 11 829 2211 8 加 166111.8.238 
耿 加 19216803 4 312 312 4 加 61.1556.100 
3 加 19216803 4 312 312 4 加 61.172201.194 
加 19216803 20 2.882 3776 16 加 66186.196.19 
两 | 号 1sz1e8o3 21 4.558 7.555 17 加 19216801 


3-17 ”表格 方式 显示 


进行 直观 显示 。 图 3-18 就 是 一 个 协议 分 布 的 条 状 图 。 为 了 过 滤 掉 一 些 匈 余 的 流量 信息 ， 
可 以 利用 过 滤器 来 将 一 些 协 议 或 应 用 进行 过 滤 。 


Protocol Distribution 


IP Protocol 


图 3-18 协议 分 布 图 


对 于 一 些 常 见 的 TCP/UDP 端口 上 的 服务 器 与 客户 机 之 间 的 应 用 层 链接 (如 
HTTP、FTP、DNS 等 ), 应 用 程序 响应 时 间 (application response time,ART) 可 实时 测量 
并 报告 其 响应 时 间 。 响 应 时 间 是 指 从 请 求 发 出 到 Sniffer Pro 发 现 相应 的 响应 之 间 的 时 
间 。 可 以 在 参数 控制 里 选择 需要 监控 的 协议 ,如 图 3-19 所 示 。 


General | Server-Client | Servers Only Display Protocols 


3-19 ART Options 参数 选项 


如 果 希 望 了 解 HTTP、POP3、SMTP、Telnet 的 应 用 状况 ,可 以 选取 这 四 项 协议 进行 
查看 。 打 开 ART 运行 一 段 时 间 后 ,可 以 看 到 如 图 3-20 所 示 的 统计 表 。 这 个 统计 表 清 楚 
地 表明 了 这 些 应 用 的 响应 时 间 , 对 于 了 解 网 络 应 用 很 有 帮助 。ART 应 用 程序 除了 能 测 
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量 和 报告 应 用 程序 响应 时 间 外 ,还 能 在 检测 到 应 用 程序 响应 时 间 大 于 所 设 定 的 阔 值 时 自 
动 生成 警报 。 生 成 的 警报 会 写 入 警报 日 志 , 并 根据 设置 采取 相应 的 警报 处 理 方式 。 


Sniffer Portable - Local, Ethernet (Line speed at 100 RUSSIA 全 


BD File Nonitor Capture Display Tools Database Window Help | 可 | x| 


| 有 "| sll Kr 可 | 
到 日 | 到 全 | 人 S| 剖 | 公 S| 要 %| 人 | 风 它 | 外 | 到 | 


Capture Filter On 


3-20 ”ART 显示 


3) 报 文 捕获 

Sniffer Pro 具有 强大 的 报 文 捕获 能 力 。 捕 获 功能 与 存储 网 络 通信 量 测 量 及 计算 数 
据 的 监控 功能 不 同 , 它 是 从 网 络 中 采集 数据 包 并 将 其 存储 在 捕获 缓冲 中 。 在 捕获 过 程 
中 ,专家 系统 将 分 析 数 据 包 并 实时 显示 分 析 结 果 。 
在 停止 捕获 后 ,可 通过 Sniffer Pro 的 显示 功能 对 捕 
获 的 数据 包 进 行 解码 加 以 显示 ,还 可 提供 专家 系统 
的 分 析 结 果 。 在 捕获 过 程 中 可 以 通过 仪表 盘面 板 查 
看 捕获 报 文 的 数量 和 缓冲 区 的 利用 率 , 如 图 3-21 所 
示 。 可 以 根据 不 同 的 要 求 对 协议 .流量 图 .应 用 程序 
等 进行 实时 的 监听 。 捕 获 到 的 数据 包 存储 在 捕获 组 
冲 区 中 ,可 以 显示 和 分 析 其 中 的 数据 包 或 者 将 数据 包 图 3-21 捕获 面板 
存 到 磁盘 ,也 可 以 加 载 和 显示 以 前 保存 的 捕获 文件 ， 
甚至 还 可 以 将 捕获 的 数据 包 实时 假 脱 机 到 文件 ,以 有 效 增加 捕获 缓冲 区 的 容量 。 

4) 专家 系统 

为 了 有 效 进行 网 络 分 析 , 需 要 根据 网 络 的 协议 环境 在 开始 捕获 数据 前 配置 专家 系 
统 。 在 捕获 过 程 中 ,专家 系统 将 通过 其 监控 的 通信 量 构建 数据 库 , 并 根据 网 络 故障 所 在 
的 专家 系统 层 对 其 进行 归 类 。 可 以 根据 具体 要 求 , 利 用 专家 系统 的 配置 选取 特定 的 通信 
进行 分 析 , 并 指定 数据 库 中 可 为 每 个 专家 系统 层 创建 的 最 大 对 象 数 和 在 专家 系统 中 可 创 
建 的 最 大 警报 数 。 当 达到 最 大 警报 数 后 ,专家 系统 将 重用 最 早 、 优 先 级 最 低 的 警报 。 要 
配置 对 象 和 专家 系统 选项 ,请 选择 工具 菜单 中 的 专家 系统 选项 ,如 图 3-22 所 示 。 

用 户 还 可 以 对 报警 . 子 网 掩 码 .802. 11 .协议 等 进行 设置 。 需 要 注意 的 是 ,如 果 网 络 
中 使 用 不 规范 的 子 网 掩 码 时 ,必须 为 网 络 添加 IP 地 址 和 相应 的 子 网 掩 码 ,以 使 专家 系统 
能 找到 数据 帧 。 专 家 系统 将 在 捕获 过 程 中 执行 RIP( 路 由 信息 协议 ) 分 析 , 通 过 分 析 所 捕 
获 帧 中 的 RIP 以 及 其 他 路 由 协议 来 构建 路 由 表 , 用 于 检测 常见 的 路 由 选择 故障 。 专 家 系 
统 将 跟踪 网 络 上 发 现 的 路 由 器 及 配置 的 默认 路 由 器 。 对 于 专家 系统 要 分 析 的 RIP 数据 
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Yes 1000 912K 
Yes 1024 696K 


Yes 1 8848 本 
TotaEstMemoy 32697K 
FF EBDungEapua DaaUpdateRaelsec} | 1 
WS Recycle Expert Obiects ~ ResortingRate[sec} 加 


取消 砚 用 而 | 
图 3-22 专家 系统 参数 选项 


包 , 必 须 在 “专家 系统 属性 ?对 话 框 的 “对 象 " 选 项 卡 上 将 连接 层 或 应 用 层 设 置 为 “分 析 ”， 
因为 RIP 位 于 UDP 之 上 ,因此 要 从 UDP 解释 器 调用 RIP 解释 器 ,而 Sniffer Pro 将 UDP 
视 为 传输 层 , 所 以 要 分 析 传 输 层 及 以 上 层 , 至 少 应 选中 连接 层 , 如 图 3-23 所 示 。 


[192.168.17.61] [192. 168. 17. 255] 
[192. 168. 17.9] [192, 168. 17. 255] 


图 3-23 专家 系统 连接 层 显示 窗口 


专家 系统 分 析 期 间 ,Sniffer Pro 将 根据 发 现 的 通信 和 量 构 建 网 络 对 象 的 数据 库 。 专 家 
系统 协议 解释 器 可 以 获得 缓冲 区 中 主机 连接 的 所 有 信息 。 用 户 可 以 通过 专家 系统 的 显 
示 筛 选 , 自 动 显示 捕获 缓冲 区 中 与 特定 项 相关 的 所 有 通信 量 。 专 家 系统 分 析 器 可 采用 多 
种 算法 来 判断 哪些 帧 可 能 会 与 网 络 对 象 关 联 , 还 扼要 地 解释 了 每 个 生成 的 症状 和 诊断 ， 
如 图 3-24 所 示 。 在 捕获 过 程 中 ,专家 系统 将 根据 所 发 现 的 帧 创建 专家 系统 对 象 。 对 于 长 
时 间 的 捕获 ,专家 系统 对 象 所 用 的 某 些 帧 很 可 能 已 从 捕获 缓冲 区 中 消失 ,因为 要 给 新 的 
数据 腾 出 空间 。 


5) 报 文 分 析 与 解码 
要 显示 捕获 缓冲 区 及 相关 专家 系统 分 析 的 内 容 , 可 以 在 捕获 过 程 中 单 击 主 工具 栏 的 
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f1: Expert, 364 Ethernet Frames -Iolxl 


UDP Connection: Port 138-138 
日 - 蝎 [192. 168.17. 255] 
Broadcast 
日 
yy 001109F2DD4B 


3-24 详细 显示 专家 系统 连接 状况 


“停止 并 显示 ?按钮 。 当 开始 实时 显示 专家 系统 分 析 的 捕获 时 ,专家 系统 显示 也 会 打开 。 
当 首 次 查看 捕获 结果 时 ， 专 家 系统 显示 ”将 显示 所 有 在 捕获 会 话 过 程 中 分 析 的 通信 量 
在 显示 解码 数据 包 和 专家 系统 分 析 前 ,可 以 应 用 显示 筛选 ,并 配置 专家 系统 选项 ,确定 专 
家 系统 数据 显示 方式 ,使 用 户 可 查看 网 络 分 析 所 需 的 特定 数据 。 在 显示 捕获 缓冲 区 的 内 
容 时 ,Sniffer Pro 将 使 用 它 的 协议 解释 器 解释 并 解码 捕获 数据 包 中 的 高 层 协议 ,其 可 以 
解码 200 多 种 网 络 协 议 。“ 解 码 ” 选 项 卡 在 三 个 查看 窗 格 中 使 用 不 同 颜 色 表 示 数 据 包 ,如 
图 3-25 所 示 。 摘 要 窗口 用 来 逐 行 显示 所 捕获 的 数据 包 摘 要 信息 。 详 细 信 息 窗口 显示 了 
“摘要 ”窗口 中 当前 所 选 数 据 包 的 详细 内 容 , 每 一 层 协议 都 进行 了 解释 和 显示 。 十 六 进 制 
窗口 以 十 六 进 制 和 ASCII 格式 显示 所 选取 的 数据 包 , 可 以 发 现 协议 字段 与 它 在 数据 包 中 


Snifl: Decode, 31/36 Ethernet Frames 


P 192 168 17.99] PRO-TP 
ARP: C PA=f192 168 .17 1621 PRO 


P: Header checksun 

P: Source addr 

P: Destination address = [2 
P: No options 


00 Od 60 60 c4 2d 08 00 45 J 
l00000010: 00 4a ld d7 00 00 oo Ey 二 37 c0 a8 11 Oc d2 1d .J.?.1 
I00000020: c0 c2 05 d3 00 35 00 00 02 01 00 00 01 纱 .?5 
00000030: 00 00 00 00 00 00 03 31 3 31 03 31 32 38 03 32 
07 69 be 2d 61 64 64 72 04 61 32.125 
00 01 


\Expert A Decode A Matrix A Host Table A Protocol Dist \ Statistics / 


3-25 解码 显示 及 示意 图 
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相应 字 节 的 对 应 关系 。 

由 于 解码 器 显示 可 能 包括 大 量 的 数据 帧 ,就 需要 通过 Sniffer Pro 强大 的 搜索 功能 来 
进行 筛选 。 可 以 在 解码 显示 中 搜索 与 文本 字符 串 、 某 种 数据 模式 、 某 种 状态 标志 匹配 的 
帧 或 者 搜索 与 某 个 专家 系统 症状 或 诊断 相关 联 的 帧 。 对 于 解码 分 析 主 要 要 求 对 协议 比 
较 熟 悉 , 这 样 才能 看 懂 解 析出 来 的 报 文 。 使 用 软件 是 简单 的 事情 ,能 够 利用 软件 解码 分 
析 来 解决 问题 关键 是 要 对 各 种 层次 的 协议 了 解 的 比较 透彻 ,工具 软件 只 是 提供 一 个 辅助 
的 手段 。 因 为 涉及 的 内 容 太 多 ,这 里 不 对 协议 进行 过 多 讲解 ,请 参阅 其 他 相关 资料 。 

在 主机 表 选 项 卡 中 ,采集 了 每 个 网 络 节点 通信 量 的 统计 数据 。 对 于 LAN,“ 主 机 表 ” 
选项 卡 包 括 MAC 层 、IP 网 络 层 、IP 应 用 层 、IPX 网 络 层 和 IPX 传输 层 的 信息 ,对 于 
WAN,“ 主 机 表 ” 选 项 卡 包括 数 据 链 路 层 、IP 网 络 层 、IP 应 用 层 、IPX 网 络 层 和 IPX 传输 
层 的 信息 。 可 以 通过 表 、 条 形 图 或 饼 图 查看 累积 数据 。 在 所 有 的 视图 中 , 均 可 以 显示 数 
据 链 路 层 和 MAC 层 的 通信 量 或 者 选择 性 查看 IP 层 或 IPX 层 的 通信 量 。 

6) 警报 管理 

Sniffer Pro 的 警报 功能 提供 了 全 面 检测 和 记录 网 络 警报 事件 的 方法 。 
数据 捕获 过 程 中 生成 警报 , 当 它 检测 到 一 个 症状 或 诊断 时 , 即 会 在 警报 日 志 中 记录 一 
事件 。 监 视 功能 的 警报 管理 器 将 在 Sniffer Pro eg te 
值 参 数 , 它 即 会 在 警报 日 志 中 记录 事件 。 通 过 “交换 机 统计 数据 ”应 用 程序 的 “警报 配置 ” 
选项 卡 ,可 以 在 不 同 的 交换 机 端口 上 设置 基于 阔 值 的 警报 ,一 旦 超过 就 向 Sniffer Pro 报 
警 。 警 报 可 以 分 成 5 种 不 同 的 严重 性 级 别 : 严重 /诊断 主要、 次 要 、 警 告 和 信息 警报 。 警 
报 日 志 中 列 出 了 所 有 和 警报 事件 ,可 通过 选择 监视 菜单 中 的 警报 日 志 或 者 单 击 警报 按钮 显 
示 该 日 志 , 如 图 3-26 所 示 。 


- Local, Ethernet (Line Sea 
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Ewer 2007:01:25183453 ‘Minor BrowserElectonForce 

Ewer 2007.01:2518.31:02 ‘Minor |BrowserElectonForce 一 
Pr 人 站 


3-26 警报 日 志 


7) Sniffer Pro 工具 的 使 用 

Sniffer Pro 提供 了 一 组 常用 工具 ,可 供 标识 和 排除 IP 网 络 故障 ,这 些 工 具 包括 
ping .Traceroute ,DNS 查找 、Finger 和 Whois, 可 以 通过 “工具 ”菜单 来 进行 访问 并 使 用 。 
除了 所 提供 的 这 组 Sniffer Pro 标准 工具 外 .也 可 以 在 “工具 ”菜单 中 添加 自己 的 工具 ,此 
工具 可 以 是 计算 机 上 已 安装 用 户 计算 机 可 以 访问 的 任何 Windows 或 DoS 可 执行 文件 ， 
在 添加 新 工具 时 ,请 指定 启动 该 程序 所 需 的 路 径 、 文 件 名 和 任何 命令 行 参数 ,如 图 3-27 
所 示 。 

此 外 ,Sniffer Pro 还 提供 数据 包 生 成 器 ,利用 它 在 网 络 中 发 送 测试 数据 包 , 就 可 以 重 
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3-27 添加 应 用 工具 


现 要 排除 的 网 络 故障 ,验证 对 网 络 设备 或 应 用 程序 的 修复 方法 是 否 正 确 , 也 可 以 生成 各 
级 网 络 通信 量 负载 ,模拟 实际 的 网 络 情况 并 对 设备 或 应 用 程序 进行 测试 。 


2. EtherPeek NX 


适用 于 Windows 的 EtherPeek 是 一 种 屡 受 嘉奖 的 以 太 网 流量 和 协议 分 析 器 ， 
EtherPeek 确立 了 “轻松 使 用 ”的 行业 标准 。EtherPeek NX 是 第 一 个 提供 信息 包 捕 获 过 
程 中 实时 进行 专业 诊断 和 结构 解码 的 网 络 协议 分 析 器 。EtherPeek NX 专门 为 IT 人 员 
设计 ,帮助 分 析 和 诊断 日 益 加速 变 化 的 网 络 数据 群 。EtherPeek NX 是 一 款 绿色 软件 ,不 
用 安装 ,也 不 需要 加 载 额外 协议 的 开销 ,运行 速度 快 ,系统 资源 占用 小 ,去 掉 和 隐藏 了 很 
多 元 余 的 功能 ,功能 简洁 又 不 失 强 大 。 从 其 抓 包 和 发 包 的 一 系列 基本 功能 可 以 看 出 , 操 
作 方 式 上 比 Sniffer Pro 更 人 性 化 。 

1) 系统 安装 

EtherPeek 对 于 不 同 的 操作 环境 , 极 易 安装 与 配置 .使 用 自己 的 软件 来 绑 定 以 太 网 
卡 。 为 更 好 体现 其 性 能 ,工作 环境 最 好 具备 1GB RAM 或 更 多 。 大 量 捕获 的 包 会 存放 在 
缓存 里 用 以 实时 分 析 。EtherPeek 由 Alarm (报警)、Utilities (利用 )、 解 码 器 (Packet 
decoders) 、 驱 动 器 (Drivers) 、Filters( 过 滤器 )、 分 析 模 块 (Analysis modules) 等 功能 模块 
构成 。 系 统 安装 结束 后 ,就 可 以 对 数据 包 进行 捕获 了 。 在 单 击 * 开 始 抓 包 ” 按 钮 后 ,可 以 
设置 “ 抓 包 ” 选 项 ,主要 包括 “常规 ”"“ 适 配器 ”"“ 触 发 器 *” “过 滤器 ”“ 输 出 形式 ”和 “性 能 
模块 ", 如 图 3-28 所 示 。 

可 以 对 需要 获取 的 包 的 类 型 进行 设置 , 设 定好 包 的 类 型 后 .就 可 以 抓 包 了 。 单 击 “ 开 
始 抓 包 ” 按 钮 ,软件 开始 运行 ,同时 对 经 过 网 卡 的 数据 包 进行 捕获 。 

2) 菜单 与 功能 介绍 

程序 运行 后 ,运行 界面 主要 包括 工具 栏 、 主 界面 和 状态 栏 三 大 块 ,如 图 3-29 所 示 。 工 
具 栏 包括 “文件 ”“ 编 辑 ”"“ 查 看 ”“ 抓 包 ”“ 发 送 ”“ 监 控 ”“ 工 具 ”、“ 和 窗口 ”与 “帮助 ”9 个 
部 分 。 

其 基本 的 用 法 与 其 他 Sniffer 软件 类 似 , 为 方便 用 户 , 在 工具 一 栏 中 可 以 将 一 些 应 用 
工具 加 入 到 系统 功能 中 ,其 中 包括 一 些 Windows 系统 自 带 的 常用 工具 集 , 如 图 3-30 
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3-28” 抓 包 选 项 
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图 3-29 ”EtherPeek 运行 时 的 主 界面 


所 示 。 

3) 如 何 捕获 数据 包 

单 击 开始 抓 包 ,根据 需求 对 数据 包 捕获 一 段 时 间 后 ,就 可 以 停止 抓 包 了 。EtherPeek 
可 以 在 多 个 不 同 配置 的 窗口 对 数据 包 进 行 捕获 ， 每 个 窗口 使 用 自己 选取 的 适配器 ， 使 用 
自己 的 设置 以 及 过 滤 规 则 ,如 图 3-31 所 示 。 捕 获 窗口 可 以 监视 运行 状况 ,选取 统计 信息 ， 
还 可 以 实时 监控 网 络 流量 ,基于 网 络 环境 控制 捕获 动作 ,基于 流量 查看 统计 数据 ,查看 捕 
获 内 容 和 进行 解码 ,使 用 专家 分 析 系 统 来 监控 和 故障 检测 。 捕 获 的 数据 包 可 以 将 其 保存 
为 PKT、HTML 或 其 他 形式 的 文件 ,以 适合 在 不 同 的 情况 下 查看 。 
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5) 分 析 模 块 


图 3-33 ”分析 模 块 参数 选择 
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HTTP Siow Response Tme 
日 时 19216803 207 .46.111.16 
日 时 Tcpp2752<->1863 
@ Sow Server Response Tme 


Met Hode 1| 
Name 19216803 19216801 
Network Address 192.168.03 192168.01 
Packets Sent 
Bytes Sent 


协议 人 摘 3 er p 人 过 涛 器 7 
Ide ee Dration: 500 /4 
图 3-32 EtherPeek 的 专家 系统 


分 析 模 块 是 系统 提供 的 外 部 高 级 特性 ,测试 网 络 流量 并 提供 详细 的 总 结 和 特定 流量 
计算 的 关键 参数 ,并 将 结果 提交 到 总 结 统计 和 窗口。 启用 分 析 模 块 的 功能 适用 于 流量 的 实 
时 捕获 。 可 以 单独 启用 或 关闭 这 个 功能 。 另 外 ,许多 分 析 模 块 需要 自己 进行 配置 。 分 析 
模块 装载 了 大 量 常 用 的 协议 与 网 络 应 用 ,甚至 可 以 自己 编写 分 析 模 块 。 在 启动 分 析 模 块 
时 ,可 以 选择 相应 的 参数 ,如 图 3-33 所 示 。 分 析 模 块 集成 了 包括 邮件 分 析 模 块 、FTP 分 
析 模 块 IJCMP 分 析 模 块 等 常见 应 用 层 的 应 用 ,还 包括 一 些 网 络 攻击 分 析 模 块 , 如 IP 分 析 
模块 .RADIUS 分 析 模 块 .SQL 分 析 模 块 .VoIP 分 析 模 块 和 Web 分 析 模块 等 。 当 然 还 可 
以 根据 自己 的 需求 ,按照 要 求 自己 编写 相应 的 分 析 模 块 。 

6) 数据 包 解 码 

作为 一 款 好 的 网 络 监听 软件 ,数据 包 解 码 的 功能 是 必 不 可 少 的 ,EtherPeek 同样 内 置 有 
解码 工具 ,如 图 3-34 所 示 。 当 检查 网 络 的 时 候 要 对 协议 或 安全 漏洞 进行 分 析 , 解 码 工 具 就 
很 有 用 处 了 。 上 有 具体 的 解码 过 程 可 以 对 照 前 面 讲述 的 各 种 协议 ,进行 细致 深入 的 分 析 。 

如 果 发 现在 网 络 里 有 EtherPeek 不 支持 的 特殊 协议 ,或 者 开发 了 一 个 自己 的 协议 ， 
同样 可 以 自己 写 一 个 解码 器 用 在 EtherPeek 中 。EtherPeek 允许 用 户 写 人 自己 的 解码 

器 ,具体 的 编写 方法 可 以 参考 相关 资料 。 当 然 , 这 需要 有 相当 的 编程 知识 。 

7) 其 他 功能 

EtherPeek 是 一 款 优 秀 的 网 络 监听 工具 , 它 还 具有 灵活 的 分 布 方式 ,可 同时 在 多 重 网 
卡 和 多 网 络 区 段 进行 包 捕 捉 。 它 可 以 支持 一 个 单一 程序 AcketGrabber 的 远程 分 布 ,来 
实现 多 点 分 布 式 分 析 的 功能 ,在 远 端 只 需要 安装 一 个 小 的 数据 捕 提 部分。 还 支持 Rmon 
远程 获取 ,这 要 由 插件 RmonGrabber 来 实现 。EtherPeek NX 还 具有 丰富 的 功能 插件 
群 ,能 够 直接 转换 几乎 所 有 的 网 络 分 析 软 件 捕获 的 数据 包 记 录 。 
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innss tsnnr 


22:10:29.449161600 01/21/2007 


00:0D: 60:60:C4:2D 
00:0D: 88:6C:93:0E 


:|oo op 60 60 C4 zD 00 oD 88 6C 93 OE 08 00 


:|oy 47 ok co 31 zc B7 A 19 Da F6 6C 50 18 FC 6A 6 | .0 
:|sp 00 oo 51 48 47 20 34 36 OD OA 00 00 00 00 Ss 


图 3-34 解码 窗口 


3. tcpdump 


tcpdump 是 Linux/UNIX 系统 下 一 个 优秀 的 数据 包 监 听 软 件 。 作 为 互联 网 上 经 典 
的 系统 管理 员 必 备 的 工具 ,tcpdump 除了 可 以 对 网 络 上 的 数据 包 进 行 截获 并 加 以 分 析 
外 ,还 可 以 将 网 络 中 传送 的 数据 包头 截获 下 来 提供 分 析 , 并 支持 针对 网 络 层 、. 协 议 、. 主 机 、 
网 络 或 端口 的 过 滤 ,提供 and、or、not 等 逻辑 语句 来 去 掉 无 用 的 信息 。 而 且 由 于 tcpdump 
是 一 款 基于 GNU 的 免费 的 网 络 分 析 工 具 ,提供 了 源 代码 ,公开 了 接口 ,因此 , 它 具 备 很 强 
的 可 扩展 性 。tcpdump 以 其 强大 的 功能 ,灵活 的 截取 策略 ,成 为 高 级 系统 管理 员 分 析 网 
络 .排查 问题 等 所 必 备 的 工具 之 一 。 自 其 问世 以 来 ,一 直 受 到 管理 员 的 青睐 ,得 到 了 广泛 
的 应 用 。 

1) tcpdump 的 安装 

在 Linux 下 tcpdump 的 安装 十 分 简单 ,有 些 操作 系统 的 发 行 包 已 经 默认 安装 了 这 个 
工具 。 如 果 没 有 的 话 ,一般 可 以 采用 两 种 安装 方式 ,一 种 是 以 rpm 包 的 形式 来 进行 安装 ， 
另外 一 种 是 以 源 程 序 的 形式 安装 。rpm 包 的 安装 简单 ,通过 rpm 命令 可 以 直接 安装 ,不 
需要 修改 任何 东西 。Linux 的 一 个 最 大 的 诱 人 之 处 就 是 在 它 上 面 有 很 多 软件 是 提供 源 程 
序 的 ,管理 员 可 以 修改 源 程序 来 满足 自己 的 特殊 的 需要 ,建议 采取 这 种 源 程序 的 安装 
方法 。 

2) tcpdump 的 应 用 

tcpdump 采用 命令 行 方式 , 它 的 命令 格式 为 : 

tcpdmp FadeflnNopgRStuvxX] Fc 数量 ] Fc 文件 大 小 ] FF 文件 名 ] 

Fi 网 络 接口 ] Em 模块 ] Fr 文件 名 ] Fs snaplen] 
FT 类 型 ] FU 用 户 ]FEw 文 件 名 ]FE] [表达 式 ] 

其 常用 选项 如 下 : 

-a 将 网 络 地 址 和 广播 地 址 转变 成 名 字 ; 

-d 将 匹配 信息 包 的 代码 以 人 们 能 够 理解 的 汇编 格式 给 出 ; 
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-dd 将 匹配 信息 包 的 代码 以 C 语言 程序 段 的 格式 给 出 ; 

-ddd 将 匹配 信息 包 的 代码 以 十 进 制 的 形式 给 出 ; 

-e 在 输出 行 打印 出 数据 链 路 层 的 头 部 信息 ; 

-f 将 外 部 的 Internet 地 址 以 数字 的 形式 打印 出 来 ; 

-1 使 标准 输出 变 为 缓冲 行 形式 ; 

-n 不 把 网 络 地 址 转换 成 名 字 ; 

-N 不 打印 域名 ; 

-p 不 将 接口 输出 到 混杂 模式 ; 

-q ”快速 输出 ,输出 较 少 的 协议 信息 ; 

-v 输出 一 个 稍微 详细 的 信息 ,例如 ,在 IP 包 中 可 以 包括 TTL 和 服务 类 型 的 信息 ; 

-vv 输出 详细 的 报 文 信息 ; 

-c 在 收 到 指定 数目 的 包 后 ,tcpdump 就 会 停止 ; 

-FE 从 指定 的 文件 中 读 取 表达 式 , 忽 略 其 他 的 表达 式 ; 

-I 指定 监听 的 网 络 接口 ; 

-r ”从 指定 的 文件 中 读 取 包 ; 

-w ”直接 将 包 写 入 文件 中 ,并 不 分 析 和 打印 出 来 ; 

-T 将 监听 到 的 包 直接 解释 为 指定 类 型 的 报 文 , 常 见 的 类 型 有 rpc 和 snmp。 

3) tcpdump 的 表达 式 介绍 

tcpdump 的 表达 式 是 一 个 正则 表达 式 , 可 以 通过 编写 合适 的 表达 式 来 进行 报 文 过 
滤 。 如 果 一 个 报 文 满足 表达 式 的 条 件 , 这 个 报 文 将 会 被 相应 的 处 理 。 如 果 没 有 给 出 任何 
条 件 , 则 所 有 的 报 文 都 将 会 被 截获 。 在 表达 式 中 一 般 采 用 几 种 类 型 的 关键 字 。 一 类 是 关 
于 类 型 的 关键 字 , 主 要 包括 host、net、port 等 ,如 ”host 192. 168. 1. 2” 表 明 192. 168. 1. 2 
是 一 台 主 机 ,而 “net 192. 0. 0.0? 则 指明 192. 0. 0.0 是 一 个 网 络 地 址 ,port 21 指明 端口 号 
是 21。 如 果 没 有 指定 类 型 ,默认 是 host。 第 二 类 是 确定 传输 方向 的 关键 字 , 主 要 包括 
src、dst、dst or src,dst and src 等 ,这 些 关 键 字 指明 了 传输 的 方向 。 比 如 “src 192. 168. 
1.2” 指 明 IP 包 中 源 地 址 是 192. 168. 1. 2,“dst net 192. 0. 0. 0 指明 目的 网 络 地址 是 192. 
0.0.0。 如 果 没 有 指明 方向 关键 字 , 则 默认 是 src or dst 关键 字 。 第 三 类 是 协议 的 关键 
字 , 主 要 包括 ip \arp rarp tcp .udp 等 类 型 ,用 它 来 指明 监听 的 包 的 协议 内 容 。 如 果 没 有 
指定 任何 协议 ,tcpdump 将 会 监听 所 有 协议 的 信息 包 。 除 了 这 三 种 类 型 的 关键 字 之 外 ， 
其 他 重要 的 关键 字 还 包括 gateway、broadcast less .greater 以 及 三 种 逻辑 运算 。 取 非 运 
算是 not 或 ! ,与 运算 是 and 或 &&, 或 运算 是 or 或 || 。 系 统管 理 员 可 以 将 这 些 关 键 字 组 
合 起 来 构成 强大 的 逻辑 关系 ,以 满足 网 络 检测 的 需求 。 

4) tcpdump 的 输出 结果 介绍 

tcpdump 具有 强大 的 功能 ,输出 的 信息 量 很 大 ,有 必要 对 其 输出 的 信息 进行 分 检 与 
过 滤 。 首 先 , 介 绍 几 种 典型 的 tcpdump 命令 的 输出 信息 ,便于 读者 理解 。 

Tcpdump 的 输出 格式 有 以 下 几 种 。 

(1) UDP 数据 包 


15:22:41.400299 test.test-edu-cn.1052 > 192.168.1.3.57392: udp 110 
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时 间 惟 : 15:22:41.400299 
源 地 址 : test. test. edu. cn 
源 端口 : 1052 

目的 地 址 : 192. 168. 1. 3 
目的 端口 : 57392 

协议 : udp 

大 小 : 110 

(2) TCP 数据 包 


16:23:01.079553 test.test.eda.cn.33635 > target.test.edu.cn.32772: P 12765:12925( 160) ack 19829 win 
24820 (DE) 


时 间 戳 : 16:23:01.079553 

源 地 址 : test. test. edu. cn 

源 端口 : 33635 

目的 地 址 : target. test. edu. cn 

目的 端口 : 32772 

表明 PUSH flag 设 为 P 

序列 号 : 12765 : 

从 序列 号 开始 到 12925 所 包括 的 字 节 数 ,但 不 包括 12925 
用 户 数据 包 字 节 数 : (160) 

窗口 大 小 : 24820 

ack 号 : 19829 

要 tcpdump 显示 的 详细 信息 ,包括 显示 每 个 数据 包 的 详细 信息 ,可 以 使 用 下 面 的 


tcpdup -v < expression> 

tapdnp -vv < expression> 

tcpdump -vv < expression> 

5) tcpdump 的 具体 使 用 

tcpdump 支持 许多 参数 .如 使 用 -i 参数 来 指定 监听 的 网 络 适配器 ,在 计算 机 具有 多 个 
网 络 适配器 时 非常 有 用 ;使 用 -c 参数 指定 要 监听 的 数据 包 数 量 ;使 用 -w 参数 指定 将 监听 
到 的 数据 包 写 入 文件 中 保存 等 。 

因为 网 络 中 数据 流量 很 大 ,虽然 网 络 分 析 工 具 能 将 这 些 传送 的 数据 记录 下 来 ,但 如 
果 不 加 分 辨 就 将 所 有 的 数据 包 都 截留 下 来 的 话 ,由 于 数据 量 过 于 庞大 ,反而 不 容易 发 现 
需要 的 数据 包 。 所 以 tcpdump 采用 参数 来 进行 数据 包 过 滤 ,使 用 这 些 参 数 定义 的 过 滤 规 
则 可 以 截留 特定 的 数据 包 ,缩小 目标 范围 ,以 便 更 好 的 分 析 网 络 中 存在 的 问题 。 这 些 参 
数 指定 要 监视 数据 包 的 类 型 .地 址 、 端 口 等 。 根 据 具体 的 网 络 问题 ,充分 利用 这 些 过 滤 规 
则 就 能 达到 迅速 定位 故障 的 目的 。 

从 上 面 tcpdump 的 输出 可 以 看 出 ,tcpdump 对 截获 的 数据 并 没有 进行 彻底 解码 , 数 
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据 包 内 的 大 部 分 内 容 是 使 用 十 六 进 制 的 形式 直接 打印 输出 的 。 这 显然 不 利于 分 析 网 络 
故障 ,通常 的 解决 办 法 是 先 使 用 -w 参数 截获 数据 并 保存 到 文件 中 ,然后 再 使 用 其 他 程序 
进行 解码 分 析 。 当 然 也 应 该 定义 过 滤 规 则 ,以 避免 捕获 的 数据 包 填 满 整 个 硬盘 。 

不 带 任何 参数 的 tcpdumop 将 搜索 系统 中 所 有 的 网 络 接口 ,并 显示 它 截获 的 所 有 数 
据 。 这 些 数据 不 一 定 全 都 需要 ,而 且 数 据 太 多 不 利于 分 析 。 所 以 ,应 当先 想 好 需要 哪些 
数据 ,以 下 参数 可 以 为 选择 数据 提供 参考 。 

-b 在 数据 链 路 层 上 选择 协议 ,包括 ip ,arp rarp \ipx 都 是 这 一 层 的 。 

例如 : 

[roote test root]#tcpdmp arp 

将 只 显示 网 络 中 的 arp 即 地 址 转换 协议 信息 。 

如 果 是 作为 路 由 器 至 少 有 两 个 网 络 接口 ,通过 -i 这 个 选项 来 选择 网 络 接口 。 例 如 : 

[root®@ test root]#tapdump -i eth0 

只 显示 通过 eth0 接口 上 的 所 有 报头 。 

src.dst、port、host、net、ether、gateway 这 几 个 选项 又 分 别 包 含 src、dst、port、 host、 
net、ehost 等 附加 选项 ,用 来 分 辨 数据 包 的 源 地 址 和 目的 地 址 ,如 “src host 192. 168. 0. 1” 
指定 源 主机 IP 地 址 是 192. 168. 0. 1,“dst net 192. 168. 0. 0/24” 指 定 目 标 是 网 络 192. 


168. 0.0。 以 此 类 推 ,host 是 与 其 指定 主机 相关 ,无 论 它 是 源 还 是 目的 ,net 是 与 其 指定 网 
络 相关 的 ,ether 后 面 跟 的 不 是 IP 地 址 而 是 物理 地 址 ,而 gateway 则 用 于 网 关 主 机 。 


[root®@ test root]#tcpdump src host 192.168.0.1 and dst net 192.168.0.0/24 
表示 过 滤 的 是 源 主机 为 192. 168. 0. 1 与 目的 网 络 为 192. 168. 0.0 的 报头 。 
[root8 test root]# tapdump src host 192.168.0.1 and dst port not telnet 


表示 过 滤 源 主机 192. 168.0.1 和 目的 端口 不 是 Telnet 的 报头 。 
ip ,icmp arp rarp 和 tcp .udp ,icmp 等 这 些 选项 都 要 放 到 第 一 个 参数 的 位 置 ,用 来 过 
滤 数 据 报 的 类 型 。 例 如 : 


[rect test root]taqpdump ip src net 192.168.0.0 
表示 只 过 滤 网 络 192. 168. 0. 0 数据 链 路 层 上 的 IP 报头 。 
[roote test root]tapdmp udp and src host 192.168.0.1 
表示 只 过 滤 源 主机 192. 168. 0. 1 的 所 有 udp 报头 。 

4. 网 络 监听 的 检测 与 防范 


网 络 监听 技术 作为 一 种 工具 ,总 是 扮演 着 正 反 两 方面 的 角色 。 对 于 入 侵 者 来 说 ,最 
喜欢 的 莫 过 于 用 户 的 密码 ,通过 网 络 监听 可 以 很 容易 地 获得 这 些 关 键 信 息 。 而 对 于 入 侵 
检测 和 追踪 者 来 说 ,网 络 监听 技术 又 能 够 在 与 人 侵 者 的 斗争 中 发 挥 重 要 的 作用 。 由 于 运 
行 网 络 监听 的 主机 只 是 被 动 地 接收 在 局 域 网 上 传输 的 信息 , 它 并 不 主动 的 与 其 他 主机 交 
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换 信息 ,也 不 修改 在 网 上 传输 的 数据 包 , 所 以 网 络 监听 是 很 难 被 发 现 的 ,但 是 可 以 通过 一 
些 方法 ,利用 一 些 常 用 的 简单 工具 ,对 是 否 存在 网 络 监听 进行 初步 简单 的 判断 。 

1) 较 高 的 通信 丢 包 率 

通过 一 些 网 管 软件 ,可 以 看 到 数据 包 传送 情况 ,最 简单 是 ping 命令 , 它 会 告诉 用 户 丢 
掉 了 百 分 之 多 少 的 数据 包 。 如 果 网 络 结构 正常 ,在 排除 病毒 的 影响 外 ,如 果 有 20%% 一 
30% 数 据 包 丢失 ,以致 数据 包 无 法 顺畅 的 到 达 目 的 地 ,网 络 被 监听 的 可 能 性 较 大 ,可 能 是 
由 于 嗅 探 器 拦截 数据 包 而 导致 。 

2) 网 络 带宽 出 现 异 常 

通过 某 些 带 宽 控 制 器 ,可 以 实时 看 到 目前 网 络 带宽 的 分 布 情况 ,如 果 某 台 机 器 长 时 
间 的 占用 了 较 大 的 带宽 ,这 人 台 机 器 就 有 可 能 在 实施 网 络 监听 。 由 于 监听 程序 要 分 析 和 处 
理 大 量 的 数据 包 会 占用 很 多 的 CPU 资源 ,如 果 某 台 机 器 服务 性 能 下 降 ,也 应 该 可 以 察觉 
出 网 络 通信 速度 的 变化 。 

鉴于 目前 的 网 络 安全 现状 ,应 该 进一步 了 解 与 学 习 网 络 监听 技术 的 细节 ,从 技术 基 
础 上 掌握 先 机 ,才能 在 与 人 侵 者 的 斗争 中 取得 胜利 。 为 了 安全 起 见 , 非 网 络 管理 用 途 的 
计算 机 上 不 应 该 运行 网 络 分 析 软 件 。 当 网 卡 被 设置 为 混杂 模式 时 ,系统 会 在 控制 台 和 日 
志文 件 中 留 下 记录 ,需要 留意 这 台 系 统 是 否 被 用 作 攻 击 同 网 络 的 其 他 计算 机 的 跳板 。 对 
网 络 监听 的 防范 可 以 从 以 下 几 个 方面 采取 措施 。 

(1) 采用 安全 的 拓扑 结构 。 对 于 以 太 网 而 言 ,Sniffer 只 能 在 当前 网 段 上 进行 数据 捕 
获 。 因 此 交换 机 、 路 由 器 和 网 桥 三 种 网 络 设备 是 Sniffer 不 能 跨 过 的 ,用 户 可 以 通过 运用 
这 些 设 备 来 进行 网 络 分 段 ,将 网 络 分 段 工 作 进 行 的 越 细 , 嗅 探 器 能 够 收集 的 信息 就 越 少 。 
由 于 大 多 数 早期 建立 的 内 部 网 络 都 使 用 HUB( 集 线 器 ) 来 连接 多 台 工 作 站 , 当 用 户 与 主 
机 进行 数据 通信 时 ,两 台 机 器 之 间 的 数据 包 ( 称 为 单 播 包 Unicast Packet) 会 被 同一 台 
线 器 上 的 其 他 用 户 所 监听 。 所 以 有 条 件 的 话 , 应 该 以 交换 机 代替 共享 式 集线器 ,使 单 播 
包 仅 在 两 个 节点 之 间 传 送 , 从 而 防止 非法 监听 。 

(2) 采用 加 密 技术 。 数 据 经 过 加 密 后 ,尽管 通过 监听 仍然 可 以 得 到 传送 的 信息 ,但 显 
示 的 是 经 加 密 过 的 信息 ,而 这 些 数据 是 没有 用 的 。 使 用 加 密 技 术 的 缺点 是 影响 数据 传输 
速度 且 使 用 弱 加 密 算法 比较 容易 被 攻破 。 所 以 系统 管理 员 和 用 户 需 要 在 网 络 速度 和 安 
全 性 上 进行 折 中 ,由 于 目前 网 络 传输 的 速度 并 不 是 一 个 严重 的 问题 ,所 以 应 尽 可 能 地 采 
用 加 密 技 术 。 在 加 密 时 有 两 个 主要 的 问题 ,一 个 是 技术 问题 ,一 个 是 人 为 问题 。 技 术 是 
指 加 密 能 力 是 否 高 ,例如 ,使 用 64 位 加 密 就 可 能 不 够 ,而 且 并 不 是 所 有 的 应 用 程序 都 集 
成 了 加 密 支 持 。 目 前 跨 平 台 的 加 密 方 案 还 比较 少见 ,一 般 只 在 一 些 特殊 的 应 用 之 中 才 
有 。 人 为 问题 是 指 有 些 用 户 不 喜欢 加 密 , 觉 得 过 于 麻烦 。 传 统 的 网 络 服务 程序 , 如 
SMTP、HTTP、FTP、POP3 和 Telnet 等 在 本 质 上 都 是 不 安全 的 ,因为 它们 在 网 络 上 用 明 
文 传送 密码 和 数据 ,Sniffer 非常 容易 就 可 以 截获 这 些 密码 和 数据 ,必须 用 一 种 更 好 的 应 
用 程序 来 代替 ,如 使 用 secure shell、secure copy 或 者 IPv6 协议 都 可 以 使 得 信息 安全 的 传 
输 。SSH(secure shell) 程 序 可 以 通过 网 络 登录 到 远程 主机 并 执行 命令 ,其 绑 定 在 端口 22 
上 ,连接 采用 协商 方式 使 用 RSA 加 密 , 身 份 鉴别 完成 之 后 ,后 面 的 所 有 流量 都 使 用 IDEA 
进行 加 密 。SSH 的 加 密 隧道 保护 的 只 是 中 间 传 输 的 安全 性 , 它 提供 了 很 强 的 安全 验证 可 
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以 在 不 安全 的 网 络 中 进行 安全 的 通信 ,使 得 任何 通常 的 Sniffer 工具 软件 无 法 获取 发 送 的 
内 容 。 可 以 通过 使 用 SSH 把 所 有 传输 的 数据 进行 加 密 , 这 样 “ 中 间 服 务 器 ?这 种 攻击 方 
式 就 不 可 能 实现 了 ,而 且 也 能 够 防止 DNS 和 IP 欺骗 。 还 有 一 个 额外 的 好 处 就 是 传输 的 
数据 是 经 过 压缩 的 ,所 以 可 以 加 快 传输 的 速度 。SSH 有 很 多 功能 , 它 既 可 以 代替 Telnet， 
又 可 以 为 FTP、POP, 甚 至 PPP 提供 一 个 安全 的 “通道 ”。 

(3) 用 静态 的 ARP 或 者 IP-MAC 对 应 表 代 替 动 态 的 ARP 或 者 IP-MAC 对 应 表 。 
该 措施 主要 是 进行 渗透 Sniffer 的 防范 ,采用 诸如 ARP 欺骗 手段 能 够 让 入 侵 者 在 交换 网 
络 中 顺利 完成 嗅 探 。Sniffer 中 通常 使 用 的 ARP 欺骗 ,主要 是 通过 欺骗 进行 ARP 动态 组 
存 表 的 修改 。 可 以 在 重要 的 主机 或 者 工作 站 上 设置 静态 的 ARP 对 应 表 , 比 如 ,在 Win2K 
系统 中 可 以 使 用 arp 命令 进行 设置 ,在 交换 机 上 可 以 设置 静态 的 IP-MAC 对 应 表 等 ,来 
防止 人 侵 者 利用 欺骗 手段 进行 Sniffer。 

除了 以 上 三 点 ,另外 还 要 重视 重点 区 域 的 安全 防范 。 这 里 说 的 重点 区 域 ,主要 是 针 
对 Sniffer 的 放置 位 置 而 言 。 入 侵 者 要 让 Sniffer 发 挥 较 大 功效 ,通常 会 把 它 设置 在 数据 
交汇 集中 区 域 ,比如 网 关 、 交 换 机 、 路 由 器 等 附近 ,以 便 能 够 捕获 更 多 的 数据 。 因 此 ,对 于 
这 些 区 域 就 应 该 加 强 防范 ,防止 在 这 些 区 域 存在 嗅 探 器 。 另 外 ,对 于 网 络 的 安全 ,管理 显 
得 格外 重要 。 除 系统 管理 员外 其 他 人 员 禁 止 在 网 络 中 使 用 任何 的 Sniffer 工具 ,包括 一 些 
企业 高 级 管理 人 员 ,从 制度 上 明确 限制 一 些 工 作 站 主动 使 用 Sniffer 工具 。 

对 于 系统 管理 员 来 说 更 重要 的 是 要 建立 安全 意识 ,了 解 你 的 用 户 、 定 期 检查 网 络 中 
的 重点 设备 (如 服务 器 、 交 换 机 、 路 由 器 )。 如 果 确 信 有 人 接 了 Sniffer 到 网 络 上 ,可 以 去 找 
一 些 进 行 验证 的 工具 ,这 种 工具 称 为 时 域 反射 计量 器 (Time Domaio Reflectometer， 
TDR)。TDR 会 对 电磁 波 的 传播 和 变化 进行 测量 ,将 一 个 TDR 连接 到 网 络 上 ,能 够 检测 
到 未 授权 的 获取 网 络 数据 的 设备 。 系 统管 理 员 还 需要 给 用 户 提供 安全 服务 ,定期 发 送 安全 
邮件 或 发 布 安全 公告 ,让 用 户 具 有 安全 意识 。 管 理 意识 是 提高 安全 性 的 另 一 个 重要 因素 ， 
管理 部 门 需要 根据 安全 策略 ,建立 一 套 每 个 人 都 必须 遵守 的 安全 标准 。 如 果 系 统管 理 员 在 
此 基础 再 建立 自己 的 安全 规则 ,就 强化 了 安全 。 此 外 系统 管理 员 不 仅仅 需要 从 技术 上 考虑 
问题 ,还 要 站 在 用 户 的 观点 上 考虑 问题 ,提供 一 些 提高 安全 的 工具 ,使 安全 保护 方法 对 用 户 
尽 可 能 地 简单 ,这样 也 便于 用 户 接受 ,从 另 一 个 方面 也 减轻 了 系统 管理 员 的 安全 压力 。 


34 路 由 履 安 全 策略 


路 由 器 是 互联 网 的 主要 节点 设备 , 它 构成 了 Internet 的 骨架 ,是 网 络 中 最 基础 重要 
的 网 络 设备 。 路 由 器 决定 数据 的 转发 ,直接 影响 着 网 络 互联 的 质量 ,有 效 的 路 由 器 配置 
可 以 提高 网 络 的 安全 性 。 思 科 系 统 公司 是 全 球 领先 的 互联 网 设备 供应 商 , 提 供 业 界 范 围 
最 广 的 网 络 硬件 产品 、 互 联网 操作 系统 (IOS) 软 件 、 网 络 设计 和 实施 等 专业 技术 支持 ,其 
路 由 器 技术 最 为 权威 ,是 行业 公认 的 业界 标准 。 这 里 选用 Cisco 路 由 器 来 举例 说 明 其 在 
网 络 安全 中 的 作用 。Cisco 路 由 器 的 功能 是 通过 适当 的 IOS 命令 来 实现 的 ,因此 对 路 由 
器 的 操作 也 就 是 对 IOS 相关 命令 的 正确 使 用 。 有 关 IOS 的 基本 命令 可 以 参考 相关 资料 ， 
这 里 重点 讲述 其 对 于 网 络 安全 方面 的 功能 及 操作 。 
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341 路 由 器 访问 安全 配置 


由 于 路 由 器 出 厂 时 ,常常 设 定 了 一 些 默认 的 密码 及 服务 ,如 果 黑 客 能 够 浏览 系统 的 
配置 文件 ,就 会 引起 身份 危机 ,所 以 建议 启用 路 由 器 上 的 密码 加 密 功 能 ,同时 需要 管理 员 
禁用 一 些 不 必要 的 服务 。 另 外 ,要 实施 合理 的 验证 控制 以 便 路 由 器 安全 地 传输 证 书 , 可 
以 配置 一 些 协 议 ( 如 远程 验证 拨 入 用 户 服务 ) ,这 样 就 能 使 用 这 些 协议 结合 验证 服务 器 提 
供 经 过 加 密 验 证 的 路 由 访问 。 验 证 控制 可 以 将 用 户 的 验证 请 求 转发 给 通常 在 后 端 网 络 
上 的 验证 服务 器 。 验 证 服务 器 可 以 要 求 用 户 使 用 双 因素 验证 ,以 此 加 强 验证 系统 。 双 因 
素 的 前 者 是 软件 或 硬件 的 令 牌 生成 部 分 ,后 者 则 是 用 户 身份 和 令 牌 通行 码 。 其 他 的 验证 
解决 方案 涉及 在 安全 外 壳 (SSH) 或 IPSec 内 传送 安全 证 书 ,具体 的 配置 方法 是 禁用 
enable password 命令 ,而 采用 enable secret 命令 设置 密码 ,该 加 密 机 制 是 IOS 采用 MD5 
散 列 算法 进行 加 密 。 

Router (config t)#enable secret 

Router (config t)#no enable password 

Router (config t)#servioe password encryption 

Router (config t)#1ine vty 0 4 

Router (config line)#exec timeout 10 0 


或 者 使 用 基于 用 户 名 和 密码 的 强 认证 方法 


Router (config t)#usermame admin pass 5 434535e2 

Router (config t)#aaa new model 

Router (config t)#RADIUS-server host 110.1.1.1 key key string 

Router (config t)#aaa authentication login netadmin group RADIUS local 
Router (config t)#1ine vty 0 4 

Router (config line)#10gin authen netadmin 


342 路 由 器 服务 安全 管理 


路 由 器 操作 系统 和 网 络 操作 系统 一 样 容 易 受 到 黑客 的 攻击 ,但 大 多 数 中 小 企业 都 没 
有 雇佣 路 由 器 工程 师 , 也 没有 把 这 项 工作 当成 一 件 必 须要 做 的 事情 外 包 出 去 。 因 为 网 络 
管理 员 和 经 理 人 并 不 十 分 了 解 保 证 路 由 器 安全 的 重要 性 。 下 面 是 保证 路 由 器 安全 的 一 
些 基 本 技巧 。 


1. 更 新 路 由 器 操作 系统 


就 像 网 络 操作 系统 一 样 ,路 由 器 操作 系统 也 需要 更 新 ,以 便 纠正 编程 错误 、 软 件 瑕 竟 
和 缓存 溢出 的 问题 。 要 经 常 向 路 由 器 厂商 查询 当前 的 更 新 和 操作 系统 的 版 本 。 


2. 修改 黑 认 的 密码 
据 卡 内 基 梅 隆 大 学 的 计算 机 应 急 反 应 小 组 称 ,80%% 的 安全 事件 都 是 由 于 较 弱 或 者 默 
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认 的 密码 引起 的 。 应 避免 使 用 普通 的 密码 ,并 且 使 用 更 强大 的 密码 规则 ,如 大 小 写字 母 
混合 的 方式 。 


3. 关闭 CDP 服务 


系统 默认 启动 Cisco 发 现 协 议 (Cisco discovery protocol, CDP), 它 是 一 种 独立 媒体 
协议 ,运行 在 所 有 思科 本 身 制造 的 设备 上 。 其 主要 功能 是 用 来 获取 相 邻 设备 的 协议 地 址 
以 及 发 现 这 些 设备 的 平台 ,缺陷 是 会 对 所 有 发 出 的 设备 请 求 做 出 应 答 , 能 发 现 邻 近 的 
Cisco 设备 、 型 号 和 软件 版 本 ,有 可 能 威胁 到 路 由 器 的 安全 ,并 产生 额外 的 系统 负担 ,应 尽 
量 禁止 其 运行 。 管 理 员 也 可 以 输入 以 下 接口 命令 禁止 某 端口 的 CDP。 

Router (config t)#no odp rn 

Router (config t)#int sO 


4. 禁用 HTTP 设置 和 SNMP 


Cisco 路 由 器 一 般 允 许 使 用 Web 界面 来 进行 配置 ,这 样 可 以 为 管理 员 的 管理 提供 方 
便 , 但 也 带 来 了 许多 隐患 。 如 果 没 有 特别 的 需要 ,最 好 关闭 这 个 服务 。 如 果 启 用 了 
HTTP 服务 则 需要 对 其 进行 安全 配置 ,设置 用 户 名 和 密码 ,采用 访问 列表 进行 控制 。 下 
面 是 一 个 简单 的 标准 访问 控制 列表 配合 使 用 HTTP 服务 的 示例 。 

Router (Config)#username manage privilege 10 GD0dPa55w0rd 

Router (Config)#ip http auth local 

Router (Config)#no acoess- list 10 

Router (Config)#acoess- list 10 permit 192.168.0.1 

Router (Config)#acoess list 10 deny any 

Router (Config)#ip http access class 10 

Router (Config)#ip http server 

如 果 没 有 使 用 路 由 器 上 的 SNMP, 那 么 就 不 需要 启用 这 个 功能 。 思 科 路 由 器 存在 一 
个 容易 遭受 CRE 隧道 攻击 的 SNMP 安全 漏洞 。 


5. VTY 的 服务 控制 


VTY 是 Telnet 虚拟 终端 ,管理 员 可 通过 其 远程 管理 设备 。 如 果 想 成 功 登 录 到 设备 ， 
必须 在 line 线路 下 使 用 命令 password 来 定义 登录 密码 ;否则 无 法 成 功 登录 。 在 此 配置 
的 密码 是 保存 在 配置 文件 中 的 ,即使 启用 service password-encryption 功能 ,其 加 密 的 方 
式 也 是 一 种 可 逆 的 加 密 , 很 容易 破解 ,所 以 在 使 用 过 程 中 尽 可 能 配置 一 个 不 同 于 特权 模 
式 的 密码 。 在 line vty 线路 中 ,默认 情况 下 使 用 的 是 系统 默认 的 登录 方式 ,如 果 需 要 在 登 
录 时 指定 认证 模式 ,可 以 使 用 login authentication 命令 进行 指定 。 通 过 VTY 线路 登录 
后 ,会 进入 用 户 模 式 ,如 果 需 要 进行 特权 模式 ,那么 必须 配置 登录 特权 模式 的 认证 。 不 应 
该 将 它 处 于 随意 登录 状态 ,假如 只 允许 192. 168. 0. 3 这 台 主 机 能 够 用 Telnet 访问 设备 ， 
需 做 如 下 设 定 。 
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Reuter (onfig t)#aogess list 110 pemmit ip 192.168.0.3 0.0.0.0 192.168.0.2 0.0.0.0 log 
Router (config t)#1ine vty 0 4 

Router (config t)#acoess-class 101 in 

Router (config t)#exec timeout 5 0 


6. 其 他 需要 关闭 的 服务 
永远 禁用 不 必要 的 服务 无 论 是 路 由 器 .服务 器 和 工作 站 上 的 都 要 禁用 。Cisco 路 由 


器 功能 强大 ,通过 网 络 操作 系统 默认 地 提供 了 一 些小 的 服务 ,如 echo( 回 波 ) .chargen( 字 
符 发 生 器 协议 ) 和 discard( 抛 弃 协 议 )。 在 配置 一 个 路 由 器 时 ,需要 遵循 最 小 化 原则 ,也 就 
只 开放 必要 的 服务 ,这 样 可 以 有 效 地 保证 路 由 器 的 安全 ,防止 对 于 路 由 器 的 DDoS 攻 
击 ,节省 内 存 并 防止 安全 破坏 行为 。 一 些 常 见 的 需 关 闭 的 服务 有 。 


Router (config t)#no service finger 

Router (config t)#no service pad 

Router (config t)#no service udp small- servers 
Router (config t)#no service tap small- servers 
Router (config t)#no ip http server 

Router (config t)#no service ftp 

Router (config t)#no ip bootp server 


7. 封锁 ICMP( 互 联网 控制 消息 协议 )ping 请 求 
ping 和 其 他 ICMP 功能 对 于 网 络 管理 员 和 黑客 都 是 非常 有 用 的 工具 。 黑 客 能 够 利 


用 路 由 器 上 启用 的 ICMP 功能 找 出 可 用 来 攻击 网 络 信息 。 为 了 防止 ICMP-flooging 攻 
击 , 还 需 在 相应 的 端口 下 关闭 以 下 服务 。 


Router (config t)#int e0 

Router (config if)#no ip redirects 

Router (config if)#no ip directed broadcast 
Router (config if)#no ip Proxy arp 


8. 禁用 来 自 互 联网 的 Telnet 命令 
在 大 多 数 情况 下 ,不 需要 来 自 互联 网 接口 的 主动 Telnet 会 话 , 如 果 从 内 部 访问 路 由 


器 设置 会 更 安全 一 些 。 


9. 禁用 IP 定向 广播 
IP 定向 广播 能 够 允许 对 设备 实施 拒绝 服务 攻击 。 一 台 路 由 器 的 内 存 和 CPU 难以 承 


受 太 多 的 请 求 , 这 种 结果 会 导致 缓存 溢出 。 


10. 禁用 IP 路 由 和 IP 重新 定向 
重新 定向 允许 数据 包 从 一 个 接口 进来 然后 从 另 一 个 接口 出 去 ,不 需要 把 精心 设计 的 
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数据 包 重 新 定向 到 专用 的 内 部 网 路 。 
11. 包 过 滤 


包 过 滤 仅 传递 允许 进入 网 络 的 那 种 数据 包 。 许 多 公司 仅 允许 使 用 80 端口 (HTTP) 
和 110/25 端口 (电子 邮件 )。 此 外 还 可 以 封锁 和 允许 IP 地 址 和 范围 。 


12. 审查 安全 记录 


通过 简单 地 利用 一 些 时 间 审 查 记录 文件 ,会 看 到 明显 的 攻击 方式 甚至 安全 漏洞 ,而 
且 会 为 经 历 了 如 此 多 的 攻击 感到 惊奇 。 


343 其 他 相关 安全 问题 
1. 系统 漏洞 问题 


和 操作 系统 及 其 他 软件 一 样 , 路 由 器 自己 的 操作 系统 即 网 络 操作 系统 (IOS) 也 会 出 
现 漏洞 及 安全 隐患 ,需要 管理 员 及 时 关注 产品 信息 打上 安全 补丁 ,同时 认真 严格 的 为 IOS 
作 安 全 备份 ,这 样 可 以 大 大 减少 路 由 器 漏洞 问题 的 发 生 。 


2. 访问 控制 问题 


要 做 好 以 下 两 个 方面 的 限制 ,一 是 限制 系统 物理 访问 ;二 是 限制 馆 辑 访问 。 限 制 系 
统 物理 访问 是 确保 路 由 器 安全 的 有 效 方法 。 限 制 系统 物理 访问 就 是 要 避免 将 调制 解 调 
器 连接 至 路 由 器 的 辅助 端口 ,或 者 将 控制 台 和 终端 会 话 配 置 成 在 较 短 闲 置 时 间 后 自动 退 
出 系统 。 限 制 逮 辑 访问 主要 是 借助 于 访问 控制 列表 ,由 于 访问 控制 列表 在 数据 过 滤 方 面 
的 重要 作用 ,所 以 下 面 单列 一 段 对 此 进行 详细 阐述 。 


3. 路 由 协议 问题 


在 路 由 协议 方面 ,要 避免 使 用 路 由 信息 协议 (RIP) ,因为 RIP 很 容易 被 欺骗 从 而 接受 
不 合法 的 路 由 更 新 。 最 好 是 各 个 分 支 机 构 都 统一 配置 ,使 用 开放 最 短路 径 优先 协议 
(OSPF) ,以 便 在 接受 路 由 更 新 之 前 ,通过 发 送 密码 的 MD5 散 列 ,使 用 密码 验证 对 方 。 


4. 配置 管理 问题 


要 有 控制 存放 、 检 索 及 更 新 路 由 器 配置 的 配置 管理 策略 ,将 配置 备份 文档 妥善 保存 在 
安全 服务 器 上 ,以 防 新 配置 遇 到 问题 时 方便 更 换 、 重 装 或 恢复 到 原先 的 配置 。 可 以 通过 两 
种 方法 将 配置 文档 (包括 系统 日 志 ) 存 放 在 支持 命令 行 接口 (CLD 的 路 由 器 平台 上 。 一 种 方 
法 是 运行 脚本 ,使 其 能 够 在 服务 器 到 路 由 器 之 间 建 立 SSH 会 话 、 登 录 系统 、 关 闭 控 制 器 日 志 
功能 .显示 配置 .保存 配置 到 本 地 文件 以 及 退出 系统 。 另 外 一 种 方法 是 在 服务 器 到 路 由 器 
之 间 建 立 IPSec 隧道 ,通过 该 安全 隧道 内 的 TFTP 将 配置 文件 复制 到 服务 器 。 
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344 访问 控制 列表 的 制定 


使 用 访问 控制 列表 的 目的 就 是 为 了 保护 路 由 器 的 安全 和 优化 网 络 的 流量 。 访 问 列 
表 的 作用 就 是 在 数据 包 经 过 路 由 器 某 一 个 端口 时 ,该 数据 包 是 否 允 许 转发 通过 ,必须 先 
在 访问 控制 列表 里 边 查找 ,如 果 允 许 则 给 予 通过 。 访问 列 表 有 多 种 形式 ,主要 有 标准 
ACL、 扩 展 ACL 和 命名 ACL 等 。 


1. 标准 ACL 


通过 使 用 IP 包 中 的 源 IP 地 址 进行 过 滤 ,一 个 标准 访问 控制 列表 的 基本 配置 如 下 
所 示 。 


acoess- list acoess- list-nunber {deny|pemmit} source [source wildqcard] 


其 中 access-list-number 是 定义 访问 列表 编号 的 一 个 值 ,范围 从 1 一 99 或 1300 一 
1999 ,参数 deny 或 permit 指定 了 允许 还 是 拒绝 数据 包 参 数 ,source 是 发 送 数据 包 的 主机 
地 址 ,source-wildcard 则 是 发 送 数据 包 的 主机 的 通配符 。 在 实际 应 用 中 ,如 果 数 据 包 的 
源 地 址 在 访问 列表 中 未 能 找到 或 是 找到 了 未 被 允许 转发 , 则 该 包 将 会 被 拒绝 。 配 置 了 访 
问 列表 后 ,就 要 启用 访问 控制 列表 ,需要 在 接口 配置 模式 下 使 用 access-group 或 ip 
access-class 命令 来 指定 访问 列表 应 用 于 某 个 接口 。 使 用 关键 字 in 或 out 来 定义 该 接口 
是 出 站 数据 包 还 是 入 站 数据 包 。 


2. 扩展 ACL 


由 于 标准 访问 控制 列表 对 使 用 的 端口 不 进行 区 别 , 所 以 引入 了 扩展 访问 控制 列表 。 

扩展 访问 列表 能 够 对 数据 包 的 源 地 址 .目的 地 址 和 端口 等 项 目 进行 检查 , 它 比 标准 
ACL 具有 更 多 的 匹配 选项 ,功能 更 加 强大 和 细 化 ,可 以 针对 包括 协议 类 型 \ 源 地 址 \ 目 的 地 
址 \ 源 端口 .目的 端口 和 TCP 连接 等 进行 过 滤 , 表 号 范围 是 100 一 199 或 2000 一 2699。 这 其 
中 ,任何 一 个 项 目 都 可 以 导致 某 个 数据 包 不 被 允许 经 过 路 由 器 接口 。 简 单 的 配置 过 程 如 下 。 

Router #configure t 

Router (config)#ip acoess- list extended 101 

Router (config ext-nacl)#pemit tap any host 10.1.1.2 established log 

Router (config ext- nacl)#permit tap any host 10.1.1.2 eq www 1og 

Router (config ext-nacl)#pemit tap any host 10.1.1.2 eq ftp log 

Router (config ext nacl)#permit tap any host 10.1.1.2 log 


经 过 上 述 配置 ,形成 如 下 的 访问 列表 。 


acoess- list 101 permit tcp any host 10.1.1.2 established log 
access- list 101 pemit tcp any host 10.1.1.2 eq ww log 
acoess- list 101 permit top any host 10.1.1.2 eq telnet log 
acoess list 101 pemit top any host 10.1.1.2 log 


第 一 行 允 许 通过 TCP 协议 访问 主机 10. 1. 1. 2, 如 果 某 个 连接 已 经 在 主机 10. 1. 1.2 
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和 某 个 要 访问 的 远程 主机 之 间 建 立 , 则 该 行 不 会 允许 任何 数据 包 通 过 路 由 器 接口 ,除非 
会 话 是 从 内 部 企业 网 内 部 发 起 的 。 第 二 行 允许 任何 连接 到 主机 10. 1. 1. 2 来 请 求 www 
服务 ,而 所 有 其 他 类 型 的 连接 将 被 拒绝 ,这 是 因为 在 访问 列表 中 会 默认 的 在 列表 尾部 加 
上 一 个 deny any any 语句 来 限制 其 他 类 型 连接 。 第 三 行 是 拒绝 任何 telnet 连接 来 访问 
10.1.1.2 主机 。 第 四 行 是 允许 所 有 类 型 的 访问 连接 到 10. 1.1. 2 主机 。 把 这 个 ACL 定 
义 到 相应 的 接口 上 ,就 可 以 完成 相应 的 控制 功能 。 

Cisco 路 由 器 新 增加 了 一 种 基于 时 间 的 访问 控制 列表 。 这 种 基于 时 间 的 访问 控制 列 
表 是 在 原来 的 标准 访问 控制 列表 和 扩展 访问 控制 列表 中 ,加 入 有 效 的 时 间 范 围 来 更 合理 
有 效 地 控制 网 络 。 先 定义 一 个 时 间 范 围 ,然后 在 原来 的 各 种 访问 控制 列表 的 基础 上 应 用 
它 。 通 过 它 , 可 以 根据 一 天 中 的 不 同时 间 、 一 星期 中 的 不 同日 期 或 者 结合 两 者 来 控制 网 
络 数据 包 的 转发 。 合 理 配置 基于 时 间 的 访问 控制 列表 可 以 更 有 效 地 保护 内 部 网 络 ,降低 
网 络 被 攻击 的 几率 。 一 个 简单 的 基于 时 间 ACL 的 例子 如 下 。 

Router #configure t 

Router (config t)#time range Test 

Router (config time range)#periodic weekaays 7:00 to 19:00 

Router (config t)#ip acoess- list extended 101 

Router (config ext- nacl)#permit tap 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 eq telnet time range Test 


这 个 基于 时 间 的 访问 列表 起 的 作用 就 是 在 每 天 7:00 至 19:00, 人 允许 Telnet 的 网 络 
流量 。 


345 使 用 路 由 器 ACL 保 护 网 络 


通过 上 述 ACL 的 说 明 , 了 解 了 ACL 的 作用 。 利 用 路 由 器 来 保护 局 域 网 络 ,本 质 上 
也 就 是 采用 一 系列 访问 控制 命令 来 对 网 络 数据 流 进行 管理 。 通 过 设置 类 似 于 源 地 址 \ 目 
的 地 址 、 端 口号 协议 等 特定 指示 条 件 来 指示 路 由 器 哪些 数据 包 可 以 接收 、 哪 些 数据 包 需 
要 拒绝 。 建 立 访问 控制 列表 后 ,可 以 限制 网 络 流量 ,提高 网 络 性 能 ,对 通信 流量 起 到 控制 
的 手段 ,减少 被 攻击 的 风险 ,这 也 是 保护 局 域 网 络 安全 的 基本 手段 。 下 面 详细 说 明 如 何 
利用 ACL 对 局 域 网 络 进行 安全 控制 。 


1. 过 滤 TCP 协议 


如 果 一 个 局 域 网 需要 为 用 户 提供 的 主要 网 络 应 用 有 远程 登录 访问 (Telnet) ,发 送 接 
收 电子 邮件 CSMTP 和 POP3) .主页 浏览 (HTTP) 等 ,要 求 局 域 网 用 户 可 以 任意 访问 其 他 
网 络 。 那 么 路 由 器 的 访问 控制 列表 可 以 定义 如 下 。 


acoess list 100 permit tap any 192.168.18.0 0.0.0 255 eq 23 
acoess- list 100 permit tap any 192.168.18.0 0.0.0.255 eq 25 
acoess list 100 permit tap any 192.168.18.0 0.0.0.255 eq 110 
acoess list 100 permit tap any 192.168.18.0 0.0.0.255 eq 80 
acoess- list 100 pemit tcp any any established 

interfaces eria 10 
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ip access group 100 in 


需要 注意 的 是 ,在 建立 访问 控制 列表 一 段 时 间 后 ,可 以 使 用 命令 show access-list 100 
来 检查 每 项 ACL 后 面 括号 中 TCP 报 文 的 matched 数量 ,根据 matched 数量 由 大 到 小 的 
顺序 重新 排列 访问 控制 列表 的 控制 顺序 ,这 样 可 以 减少 报 文 在 访问 控制 列表 中 不 必要 的 
检测 ,减少 特定 报 文 查找 访问 控制 列表 的 时 间 , 降 低 路 由 器 CPU 的 负担 。 另 外 ,注意 在 
access-list 100 的 最 末尾 使 用 关键 字 established。 使 用 关键 字 established 是 一 种 判断 报 
文 是 否 为 一 个 已 知 会 话 一 部 分 的 简单 方法 , 它 被 Cisco 路 由 器 访问 控制 列表 用 来 允许 
TCP 返回 的 报 文 。 它 检测 TCP 报 文中 ACK 或 RST 标志 位 的 存在 ,如 果 报 文中 的 ACK 
或 RST 位 被 设置 了 , 则 通常 表示 报 文 是 一 个 正在 进行 的 会 话 的 一 部 分 。 但 入 侵 者 可 以 
编写 程序 ,用 来 生成 这 两 个 标志 ,并 将 带 有 ACK 或 RST 标志 位 的 报 文 发 送出 去 ,而 这 些 
报 文 却 并 非 正在 进行 的 合法 会 话 的 一 部 分 。 由 于 TCP 返回 的 报 文 随机 选择 的 端口 号 范 
围 是 1024 一 65536 ,所 以 可 以 将 含有 关键 字 established 的 访问 控制 语句 改 为 “accessrlist 
100 permit tcp any 192. 168. 18. 0 0. 0. 0. 255 gt 1023 established”, 这 就 确保 了 进入 企业 
内 部 网 络 的 报 文 目的 端口 号 都 大 于 1023 ,如 果 和 侵 者 企图 逃脱 访问 控制 列表 项 的 控制 使 
用 ACK 和 RST 位 ,那么 它 的 端口 号 必须 大 于 1023 ,这 就 使 得 欺骗 性 的 报 文 不 会 对 端口 
号 低 于 1024 的 服务 造成 影响 ,在 一 定 程度 上 提高 了 网 络 的 安全 性 。 


2. 过 滤 UDP 协议 


UDP 协议 和 TCP 协议 的 区 别 在 于 UDP 是 一 种 无 连接 的 协议 ,其 不 会 有 SYN-ACK 
协商 。 因 此 ,UDP 报 文 头 也 不 存在 类 似 TCP 协议 ACK 位 或 RST 位 那 种 可 以 确定 某 个 
报 文 是 否 为 一 个 已 存在 会 话 一 部 分 的 位 。 由 于 网 络 上 利用 Windows 系统 NetBIOS 漏洞 
(UDP port 137-139) 进 行 攻击 的 程序 很 多 ,所 以 必须 对 这 部 分 UDP 协议 进行 过 滤 ,以 防 
止 局 域 网 络 的 计算 机 系统 被 攻击 ,同时 也 不 能 影响 WINS 的 名 字 解 析 工 作 。 如 果 提 供 服 
务 的 网 络 操作 系统 是 基于 Windows NT 平台 的 ,使 用 WINS 服务 器 解析 计算 机 名 ,而 
WINS 服务 器 不 在 企业 总 部 而 在 分 支 机 构 ,IP 地 址 为 192. 168. 2. 245 ,假设 端口 为 137， 
根据 客户 机 的 端口 号 是 在 1023 以 上 随机 选择 的 这 样 一 个 规则 ,使 用 如 下 命令 来 抵制 利 
用 NetBIOS 漏洞 发 起 的 攻击 。 


acoess- list 100 pemmit udp 192.168.2.245 0.0.0 0 eq 137 any gt 1023 


虽然 人 侵 者 可 以 在 分 支 机 构 欺 骗 性 地 使 用 源 地 址 和 源 端 口 发 送 类 似 WINS 服务 器 
的 报 文 , 但 是 由 于 企业 总 部 服务 器 的 端口 通常 小 于 1024, 所 以 他 还 是 不 能 给 企业 总 部 的 
任何 服务 器 端口 发 送 报 文 。 


3. 过 滤 ICMP 协议 


ICMP 提供 了 网 络 服务 和 应 用 程序 的 大 量 信息 ,如 ping 和 traceroute, 管 理 员 可 以 利 
用 其 协助 网 络 管理 工作 ,而 入 侵 者 也 可 以 使 用 ICMP 来 获取 局 域 网 络 上 的 信息 ,有 些 信 
息 是 不 应 该 泄露 出 来 的 。 但 是 如 果 没 有 ICMP, 网 络 管理 程序 就 不 能 正常 工作 ,这 就 是 矛 
盾 所 在 。 由 于 ICMP 信息 多 数 是 为 了 响应 其 他 程序 而 产生 的 ,所 以 过 滤 ICMP 比 过 滤 
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TCP 和 UDP 都 要 困难 。 要 过 滤 ICMP 信息 ,需要 从 接口 的 进出 两 个 方向 都 进行 报 文 过 
滤 。 通 常 使 用 的 ICMP 报 文 有 echo request (为 ping 使 用 的 环 路 测试 请 求 ) .echo reply 
(为 ping 使 用 的 环 路 测试 回应 ) packet too big( 某 些 程序 用 来 侦 测 目标 地 址 路 径 上 的 
MTU) ,time to live( 即 TTL ,测试 网 络 报 文生 存 周 期 ) .destination host unreachable( 通 
知 会 话 目 标 不 可 达 )。 如 果 管 理 员 和 希望 能 ping 和 tracerouter 分 支 机 构 的 网 络 设备 ;反之 
不 允许 , 则 可 以 在 路 由 器 的 配置 中 增加 下 列 访问 表 项 实现 这 个 目的 。 

interface serial 0 

ipaccess-group 100 in 

ipaccess-group 101 out 

acoess list 100 permit iamp any 192.168.18.0 0.0.0.255 echo reply 

acoess list 100 permit icmp any 192.168.18.0 0.0.0.255 packet too big 

access list 100 permit icmp any 192.168.18.0 0.0.0.255 ttl-exoeeded 

acoess list 101 permit iamp 192.168.18.0 0.0.0.255 any echo reply 

acoess list 101 permit icmp192.168.18.0 0.0.0.255 any packet too big 

acoess list 101 permit ip 192.168.18.0 0.0.0.255 any 


由 于 访问 控制 列表 在 最 末 隐 含 deny all, 所 以 必须 在 访问 控制 列表 101 的 最 后 一 项 
加 上 “access-list 101 permit ip 192. 168. 18. 0 0. 0. 0. 255 any”; 和 否则 局 域 网 内 部 的 计算 机 
就 无 法 访问 分 支 机 构 的 计算 机 了 。 

路 由 器 并 不 能 过 滤 所 有 的 数据 ,用 来 允许 或 拒绝 报 文 的 标准 是 基于 报 文 自身 所 包含 
的 信息 。 通 常 , 这 些 信息 只 限于 报 文 头 所 包含 的 OSI 参考 模型 的 第 三 层 网 络 地 址 和 第 四 
层 的 端口 信息 。 因 此 ,访问 控制 列表 基本 上 不 能 使 用 第 四 层 以 上 的 信息 过 滤 报 文 ,比如 
扩展 访问 控制 列表 能 够 控制 ftp 报 文 的 访问 ,但 却 不 能 过 滤 特 定 的 ftp 命令 ,如 1s 或 get 
等 。 另 外 路 由 器 对 网 络 安全 的 作用 是 有 限 的 ,路 由 器 并 不 能 取代 防火 墙 的 地 位 ,路 由 器 
主要 是 承担 网 络 中 的 路 由 交换 任务 ,同时 兼顾 网 络 安全 。 在 中 小 型 网 络 中 ,可 以 充分 利 
用 路 由 器 的 数据 过 滤 功 能 ,省 去 防火 墙 。 但 在 大 型 的 网 络 中 ,单单 利用 路 由 器 是 不 够 的 。 
网 络 管理 员 若 能 充分 认识 路 由 器 的 功能 并 在 工作 中 积极 发 挥 路 由 器 的 安全 防护 作用 ,加 强 
路 由 器 的 管理 和 配置 ,特别 是 加 强 访问 控制 列表 的 配置 .可 以 有 效 地 监控 网 络 .过 滤 数 据 包 ， 
可 以 在 很 大 程度 上 提高 网 络 的 安全 性 ,为 局 域 网 络 运营 的 正常 .稳定 提供 有 力 的 保障 。 


35 局域网 安全 技术 策略 


局 域 网 基本 上 都 采用 以 广播 为 技术 基础 的 以 太 网 ,任何 两 个 节点 之 间 的 通信 数据 包 
不 仅 为 这 两 个 节点 的 网 卡 所 接收 ,同时 也 被 处 在 同一 以 太 网 上 的 任何 一 个 节点 的 网 卡 所 
截取 。 因 此 ,黑客 只 要 接 人 以 太 网 上 的 任 一 节点 进行 侦 听 ,就 可 以 捕获 发 生 在 这 个 以 太 
网 上 的 所 有 数据 包 , 并 对 其 进行 解 包 分 析 , 从 而 穷 取 关 键 信息 ,这 就 是 以 太 网 所 固有 的 安 
全 隐患 。 事 实 上 ,Internet 上 许多 免费 的 黑客 工具 ,如 SATAN.、ISS、NETCAT 等 ,都 把 
以 太 网 侦 听 作为 其 最 基本 的 手段 。 
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351 网 络 分 段 方 法 


网 络 分 段 通常 被 认为 是 控制 网 络 广播 风暴 的 一 种 基本 手段 , 它 也 是 保证 网 络 安全 的 
一 项 重要 措施 。 其 指导 思想 在 于 将 非法 用 户 与 网 络 资源 相互 隔离 ,从 而 达到 限制 和 防止 
用 户 非法 访问 及 非法 侦 听 的 目的 。 网 络 分 段 可 分 为 物理 分 段 和 逻辑 分 段 两 种 方式 。 

物理 分 段 通常 是 指 将 网 络 从 物理 层 和 数据 链 路 层 (ISO/OSI 模型 中 的 第 1 层 和 第 2 
层 ) 上 分 为 若干 网 段 ,各 网 段 相互 之 间 无 法 进行 直接 通信 。 目 前 ,许多 交换 机 都 有 一 定 的 
访问 控制 能 力 , 可 实现 对 网 络 的 物理 分 段 。 逻 辑 分 段 则 是 指 将 整个 系统 在 网 络 层 (ISO/ 
OSI 模型 中 的 第 3 层 ) 上 进行 分 段 。 例 如 ,对 于 TCP/IP 网 络 , 可 把 网 络 分 成 若干 IP 子 
网 ,各 子 网 间 必 须 通 过 路 由 器 、 路 由 交换 机 、 网 关 或 防火 墙 等 设备 进行 连接 ,利用 这 些 中 
间 设 备 ( 含 软件 硬件) 的 安全 机 制 来 控制 各 子 网 间 的 访问 。 

在 实际 应 用 过 程 中 ,通常 采取 物理 分 段 与 逻辑 分 段 相 结合 的 方法 来 实现 对 网 络 系统 
的 安全 性 控制 。 

通过 使 用 网 络 分 段 ,在 同一 个 段 内 互相 通信 时 只 有 少量 的 用 户 或 设备 共享 同一 个 带 
宽 , 每 个 段 被 认为 是 它 自己 的 冲突 域 。 图 3-35 是 一 个 分 段 以 太 网 的 例子 ,整个 网 络 有 9 
台 计 算 机 ,通过 把 网 络 分 成 3 个 段 , 网 络 管理 者 减少 每 个 段 内 的 网 络 拥塞 。 在 同一 个 段 
内 传送 数据 时 ,只 有 3 台 计 算 机 共享 每 段 10Mbps 的 带宽 。 在 一 个 分 段 的 以 太 网 局 域 网 
中 ,在 网 络 主干 上 段 与 段 之 间 的 数据 传送 使 用 网 桥 .路 由 器 或 交换 机 等 设备 。 


冲突 域 4 
网 桥 路 由 器 LAN 交换 机 
10Mbps 10Mbps 
[四 | -名 吕 
= = = 
计算 机 计算 机 计算 机 
10Mbps 10Mbps 10Mbps 
国 | 口 
= 
机 | 加 机 | 回 | 加 
= = = 
计算 机 计算 机 计算 机 
冲突 域 1 | 冲突 域 2 冲突 域 3 


图 3-35 ”物理 分 段 的 实例 


使 用 网 络 分 段 技术 可 以 带 来 以 下 好 处 。 

(1) 过 滤 通信 量 。 网 络 分 段 把 局 域 网 划分 成 不 同 的 区 域 , 从 而 减轻 了 局 域 网 的 负荷 ， 
同时 也 减 小 了 在 局 域 网 上 数据 包 的 平均 时 延 。 

(2) 扩大 了 物理 范围 。 网 络 分 段 增加 了 局 域 网 上 工作 站 的 总 数量 。 从 理论 上 讲 , 将 
局 域 网 进行 网 络 分 段 后 ,局 域 网 在 范围 上 是 没有 限制 的 (这 里 不 仅 指 物 理 范 围 ,还 包括 工 
作 站 的 数量 )。 
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(3) 提高 了 可 靠 性 。 当 网 络 出 现 故 障 时 ,一 般 只 影响 个 别 网 段 。 
(4) 减 小 了 Sniffer 的 监听 范围 。 网 络 分 段 后 ,Sniffer 只 能 监听 它 所 在 网 段 上 传输 的 
数据 ,而 对 其 他 网 段 的 数据 就 无 能 为 力 了 。 


352 以 交换 式 集线器 代替 共享 式 集线器 方法 


对 局 域 网 的 中 心 交 换 机 进行 网 络 分 段 后 ,以 太 网 被 侦 听 的 危险 仍然 存在 。 这 是 因为 
网 络 最 终 用 户 的 接 入 往往 是 通过 分 支 集线器 而 不 是 中 心 交换 机 ,而 使 用 最 广泛 的 分 支 集 
线 器 通常 是 共享 式 集线器 。 这 样 , 当 用 户 与 主机 进行 数据 通信 时 ,两 台 机 器 之 间 的 数据 
包 ( 称 为 单 播 包 ,unicast packet) 还 是 会 被 同 台 集线器 上 的 其 他 用 户 所 侦 听 。 一 种 很 危险 
的 情况 是 用 户 Telnet 到 一 台 主 机 上 ,由 于 Telnet 程序 本 身 缺 乏 加 密 功 能 ,用 户 所 输入 的 
每 个 字符 (包括 用 户 名 、 密 码 等 重要 信息 ) 都 将 被 明文 发 送 ,这 就 给 黑客 提供 了 机 会 。 因 
此 ,应 该 以 交换 式 集线器 代替 共享 式 集线器 ,使 单 播 包 仅 在 两 个 节点 之 间 传 送 , 从 而 防止 非 
法 侦 听 。 当 然 ,交换 式 集线器 只 能 控制 单 播 包 而 无 法 控制 广播 包 (Bmadcast Packet) 和 多 播 
包 (Multicast Packet) 。 所 幸 的 是 ,广播 包 和 多 播 包 内 的 关键 信息 要 远 远 少 于 单 播 包 。 


353 虚拟 局 域 网 (VAN 的 划分 方法 


为 了 克服 以 太 网 的 广播 问题 ,除了 上 述 方法 外 ,还 可 以 运用 VLAN( 虚 拟 局 域 网 ) 技 
术 , 将 以 太 网 通信 变 为 点 到 点 通信 ,防止 大 部 分 基于 网 络 侦 听 的 入 侵 。VLAN 是 指 在 局 
域 网 的 物理 结构 上 通过 控制 流量 分 配 而 形成 的 一 种 罗 辑 网 络 。 在 一 个 支持 VLAN 的 局 
域 网 中 ,可 以 按 一 定 的 方法 和 规则 构造 多 个 VLAN。 一 个 VLAN 中 的 流量 被 限制 在 本 
VLAN 内 ,不 会 在 其 他 VLAN 中 流通 。 这 样 就 使 VLAN 之 间 逻 辑 上 是 相互 隔离 的 ， 
VLAN 之 间 的 互通 必须 通过 网 桥 等 互联 设备 来 实现 。 因 此 ,通过 VLAN 可 以 在 局 域 网 
中 提供 一 定 程 度 的 数据 交换 安全 性 。 通 常 ,VLAN 是 在 LAN 交换 机 的 支持 下 实现 的 ， 
LAN 交换 机 是 通过 标准 化 的 VLAN 协议 (如 IEEE 802. 10 或 IEEE 802. 1Q) 提供 
VLAN 定义 和 管理 功能 的 。 由 于 利用 802. 10 头 中 的 SAID 字段 作为 VLAN 标识 符 , 这 
导致 了 不 定 长 的 数据 帧 在 实现 上 产生 一 些 问题 。 另 外 ,各 个 厂商 所 定义 的 VLAN 标识 
符 格式 和 长 度 也 不 统一 ,引起 不 同 厂商 VLAN 设备 之 间 兼 容 性 问题 。 后 来 ,IEEE 对 
802. 10 协议 进行 了 修订 ,进一步 完善 了 VLAN 的 体系 结构 ,统一 了 802. 10 头 中 的 
VLAN 标识 符 格式 。 同 时 ,还 制定 了 一 个 称 为 IEEE 802. 1Q 的 新 VLAN 标准 ,并 在 业 
界 得 到 广泛 的 应 用 。 

IEEE 802. 1Q 标准 进一步 完善 了 VLAN 的 体系 结构 ,规定 了 统一 的 VLAN 标记 格 
式 。 与 VLAN 相关 的 协议 如 下 。 

(1) IEEE 802. 1P: 定义 了 VLAN 中 数据 流 优先 级 标记 和 动态 组 播 服务 ,通过 定义 
8 个 优先 级 支持 不 同 的 数据 传输 服务 级 别 CoS(class of service) 。 

(2) IEEE 802. 1D: 定义 了 第 二 层 交 换 和 桥接 协议 。 这 些 VLAN 协议 构成 了 LAN 
交换 机 的 技术 基础 和 协议 标准 。 

802. 1P/Q 同属 于 一 个 协议 集 ,使 用 同一 帧 格式 ,它们 是 在 传统 的 以 太 网 帧 格式 中 插 
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人 了 一 个 标记 (Tag 字段 ), 占 两 个 字 节 ,如 图 3-36 所 示 。 


DestAddr | SrcAddr TagProtocol Ldentifer Tag Ethernet Type Data CRC 


Priority | TR | VLANID 
3 位 1 位 2 位 


图 3-36 IEEE 802. 1P/Q 帧 格式 


其 中 ,802.1P 占 3 位 ,定义 了 8 个 优先 级 (prorlty);802. 1Q 占 12 位 ,定义 了 VLAN 
标识 符 (VLAN ID) ,用 于 识别 数据 流 所 属 的 VLAN。 由 于 VLAN 标识 符 共 有 12 位 , 因 
此 一 个 局 域 网 中 最 多 可 划分 4096 个 VLAN。VLAN 除了 提供 局 域 网 通信 安全 性 外 ,还 
简化 了 局 域 网 中 节点 的 迁移 操作 。 它 既 可 以 在 保持 节点 物理 位 置 不 变 的 情况 下 ,将 节点 
从 一 个 VLAN 迁移 到 另 一 个 VLAN, 也 可 以 在 保持 同一 VLAN 不 变 的 情况 下 ,将 节点 
移动 到 一 个 新 物理 位 置 上 。 所 有 这 些 迁 移 操 作 只 须 通过 交换 机 所 配置 的 VLAN 管理 软 
件 很 容易 实现 。 因 此 一 般 高 档 局 域 网 交换 机 都 支持 基于 802. 10 和 802. 1Q 标准 的 
VLAN 定义 和 管理 功能 。 

目前 的 VLAN 技术 主要 有 3 种 : 基于 交换 机 端口 的 VLAN 基于 节点 MAC 地 址 的 
VLAN 和 基于 应 用 协议 的 VLAN。 基 于 端口 的 VLAN 虽然 稍 欠 灵活 , 却 比 较 成 熟 ,在 实 
际 应 用 中 效果 显著 , 广 受 欢迎 。 基 于 MAC 地 址 的 VLAN 为 移动 计算 提供 了 可 能 性 ,但 
同时 也 潜藏 着 遭受 MAC 欺诈 攻击 的 隐患 。 而 基于 协议 的 VLAN, 理 论 上 非常 理想 ,但 
实际 应 用 却 尚 不 成 熟 。 在 集中 式 网 络 环境 下 ,通常 将 中 心 的 所 有 主机 系统 集中 到 一 个 
VLAN 里 ,在 这 个 VLAN 里 不 允许 有 任何 用 户 节点 ,从 而 较 好 地 保护 敏感 的 主机 资源 。 
在 分 布 式 网 络 环境 下 ,可 以 按 机 构 或 部 门 的 设置 来 划分 VLAN。 各 部 门 内 部 的 所 有 服务 
器 和 用 户 节点 都 在 各 自 的 VLAN 内 , 互 不 侵扰 VLAN 内 部 的 连接 采用 交换 实现 ,而 
VLAN 与 VLAN 之 间 的 连接 则 采用 路 由 实现 。 目 前 ,大 多 数 的 路 由 器 都 支持 RIP 和 
OSPF 这 两 种 国际 标准 的 路 由 协议 。 如 果 有 特殊 需要 ,必须 使 用 其 他 路 由 协议 (如 Cisco 
公司 的 EIGRP 或 支持 DECnet 的 IS-IS) ,也 可 以 用 外 接 的 多 以 太 网 口 路 由 器 来 代替 交换 
机 ,实现 VLAN 之 间 的 路 由 功能 。 当 然 , 这 种 情况 下 路 由 转发 的 效率 会 有 所 下 降 。 

无 论 是 交换 式 集线器 还 是 VLAN 交换 机 都 是 以 交换 技术 为 核心 的 。 它 们 在 控制 广 
播 . 防 止 黑客 上 相当 有 效 , 但 同时 也 给 一 些 基 于 广播 原理 的 入 侵 监 控 技 术 和 协议 分 析 技 
术 带 来 了 麻烦 。 因 此 ,如 果 局 域 网 内 存在 这 样 的 入 侵 监 控 设 备 或 协议 分 析 设 备 ,就 必须 
选用 特殊 的 带 有 SPAN(Switch Port Analyzer Network) 功 能 的 交换 机 。 这 种 交换 机 人 允 
许 系统 管理 员 将 全 部 或 某 些 交换 端口 的 数据 包 映 射 到 指定 的 端口 上 ,提供 给 连接 在 这 一 
端口 上 的 入 侵 监 控 设 备 或 协议 分 析 设 备 。 下 面 以 实例 说 明 如 何在 一 个 典型 的 快速 以 太 
网 局 域 网 中 实现 VLAN。 所 谓 典 型 的 局 域 网 就 是 指 由 一 台 具 备 3 层 交 换 功 能 的 核心 交 
换 机 连接 几 台 分 支 交换 机 (不 一 定 具备 3 层 交换 能 力 )。 假 设 核心 交换 机 名 称 为 CEN; 分 
支 交换 机 分 别 为 DOMAIN1、DOMAIN2 和 DOMAIN3, 分 别 通 过 portl 的 光 模 块 与 核心 
交换 机 相连 ;并 且 假 设 VLAN 名 称 分 别 为 FINANCE、SCHEME、ADMIN。 
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1. 设置 VTP DOMAIN 


VTP DOMAIN 称 为 管理 域 。 交 换 VTP 更 新 信息 的 所 有 交换 机 必须 配置 为 相同 的 
管理 域 。 如 果 所 有 的 交换 机 都 以 中 继 线 相连 ,那么 只 要 在 核心 交换 机 上 设置 一 个 管理 
域 , 网 络 上 所 有 的 交换 机 都 加 入 该 域 ,这 样 管理 域 里 所 有 的 交换 机 就 能 够 了 解 彼此 的 
VLAN 列表 。 


CEN#vlan database // 进 入 viIAN 配 置 模式 
CEN (vlan)#vtp damain CEN // 设 置 VIP 管 理 域名 称 CEN 
CEN (vlan)vtp server // 设 置 交 换 机 为 服务 器 模式 
DCMAINI#vlan database // 进 入 VaN 配 置 模式 
DOMAINL (vlan)#vtp domain CEN // 设 置 VIP 管 理 域名 称 CEN 
DOMAINL (vlan)#vtp client // 设 置 交 换 机 为 客户 端 模式 
DOMAIND#vlan database // 进 入 VN 配 置 模式 
DOMAIN2 (vlan)#vtp domain CEN // 设 置 VIP 管 理 域名 称 CEN 
DMATD (vlan)#vtp client // 设 置 交 换 机 为 客户 端 模 式 
DOMAINB#vlan database // 进 入 viaN 配 置 模式 
DOMAINB (vlan)#vtp domain CEN // 设 置 VIP 管 理 域名 称 CEN 


DCMAINB (vlan) #vtp client 


// 设 置 交换 机 为 客户 端 模式 


这 里 设置 交换 机 为 server 模式 是 指 允 许 在 本 交换 机 上 创建 修改 ,删除 VLAN 及 其 他 
一 些 对 整个 VTP 域 的 配置 参数 ,同步 由 本 VTP 域 中 其 他 交换 机 传递 来 的 最 新 的 VLAN 信 
息 。client 模式 是 指 本 交换 机 不 能 创建 ,删除 ,修改 VLAN 配置 ,也 不 能 在 NVRAM 中 存储 
VLAN 配置 ,但 可 以 同步 由 本 VTP 域 中 其 他 交换 机 传递 来 的 VLAN 信息 。 


2. 配置 中 继 


为 了 保证 管理 域 能 够 覆盖 所 有 的 分 支 交 换 机 ,必须 配置 中 继 。Cisco 交换 机 能 够 支 
持 任何 介质 作为 中 继 线 , 为 了 实现 中 继 可 使 用 其 特有 的 ISL(Inter-Switch Link) 标 签 。 
ISL 是 一 个 在 交换 机 之 间 交换 机 与 路 由 器 之 间 及 交换 机 与 服务 器 之 间 传 递 多 个 VLAN 
信息 及 VLAN 数据 流 的 协议 。 通 过 在 交换 机 直接 相连 的 端口 配置 ISL 封装 ,就 可 以 路 
越 交 换 机 进行 整个 网 络 的 VLAN 分 配 和 配置 。 

在 核心 交换 机 中 配置 如 下 。 


CEN(config)#interface gigabitEthernet 2/1 
CEN(config if)#switchport 

CEN(config if)#switchport trunk encapsulaticn isl 
CEN (oonfig if)#switchport mode trunk 
CEN(config)#interface gigabitEthernet 2/2 

CEN (config if)#switchport 

CEN (config if)#switchport trunk encapsulation isl 
CEN (oonfig if)#switchport mode trnk 

CEN (config)#interface gigabitEthemet 2/3 

CEN (config if)#switchport 
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CEN (config if)#switchport trunk encapsulation isl 


CEN (config if)#switchport mode trunk 
在 分 支 交 换 机 中 配置 如 下 。 


DOMAINI (config) interface gigabitEthernet 0/1 
DOMAINL (config if)#switchport mode trunk 
DOMRTND (config) interface gigabitEthermet 0/1 
DOMAIND (config if)#switchport mode trunk 
DOMRATN3 (config) interface gigabitEthermet 0/1 
DOMAINB (config if)#switchport mode trunk 


此 时 ,管理 域 设置 完毕 。 


3. 创建 VLAN 


一 旦 建立 了 管理 域 ,就 可 以 创建 VLAN 了 。 


CEN (vlan)#vlan 101 name FINANCE 
CEN (vlan)#vlan 102 name SCHEME 
CEN (vlan)#vlan 103 name AIMIN 


4. 将 交换 机 端口 划 入 VLAN 


例如 ,将 DOMAIN1、.DOMAIN2、DOMAIN3 分 支 交换 机 的 端口 1 划 入 FINANCE 
VLAN ,端口 2 划 入 SCHEME VLAN, 端 口 3 划 入 ADMIN VLAN, 则 需要 进行 如 下 


设置 。 


DCMAINL (config)#interfaoe fastEthernet 0/1 
DOCMAIN] (config if)#switchport access vlan 101 
DCMAINI (config)#interface fastEthemet 0/2 
DOCMAIN] (config if)#switchport access vlan 102 
DCMAIN] (config)#;imnterface fastEthemet 0/3 
DOMAINL (config if)#switchport access vlan 103 
DOMAIN2 (config)#;imnterface fastEthemet 0/1 
DOMAIND (config if)#switchport access vlan 101 
DCMAIN? (config)#interface fastEthemet 0/2 
DOMAINDZ (config if)#switchport access vlan 102 
DOMAIND (config)#:interface fastEthemet 0/3 
DCMAINZ (config if)#switchport access vlan 103 
DOMAINB (config)#;interface fastEthemet 0/1 
DOMATINB (config if)#switchport access vlan 101 
DOMAINB (config)#interface fastEthemet 0/2 


// 创 建 了 一 个 编号 为 101, 名 字 为 FNANCE 的 VIAN 
// 创 建 了 一 个 编号 为 102, 名 字 为 ScHEME 的 VIAN 
// 创 建 了 一 个 编号 为 103, 名 字 为 RMIN 的 VIAN 

这 里 的 VLAN 是 在 核心 交换 机 上 建立 的 。 其 实 只 要 是 在 管理 域 中 的 任何 一 台 VTP 属 
性 为 server 的 交换 机 上 建立 VLAN , 它 就 会 通过 VTP 通告 整个 管理 域 中 的 所 有 的 交换 机 。 
但 是 如 果 要 将 交换 机 的 端口 划 入 某 个 VLAN ,必须 在 该 端口 所 属 的 交换 机 上 进行 设置 。 


// 配 置 端口 1 

// 归 属 FINNCE VIAN 
// 配 置 端口 1 

// 归 属 ScHEME VIAN 
// 配 置 端口 1 

// 归 属 AMIN VIAN 
// 配 置 端口 1 

// 归 属 FTNRNCE VIAN 
// 配 置 端口 1 

// 归 属 ScHEME VIAN 
// 配 置 端口 1 

// 归 属 ADMIN VIAN 
/配置 端口 1 

// 归 属 FINRNCE VIAN 
// 配 置 端口 1 
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DCMAINB (config if)#switchport access vlan 102 // 归 属 ScHEME VIAN 
DOMAINB (config)#interface fastEthernet 0/3 // 配 置 端口 1 
DOMAINB (config if)#switchport access vlan 103 /归属 MOMIN VEN 


36 相关 安全 策略 考虑 


在 安全 策略 中 ,除了 上 述 的 方法 外 ,对 于 普通 用 户 而 言 , 还 需要 注意 以 下 几 个 方面 的 
安全 问题 。 


361 安全 意识 的 培养 
用 户 安全 意识 培养 层面 包含 如 下 两 方面 含义 。 
1. 网 络 安全 管理 制度 的 建设 


通常 所 说 的 网 络 安全 建设 “三 分 技术 ,七 分 管理 ”, 也 就 是 突出 了 “管理 ”在 网 络 安全 
建设 中 所 处 的 重要 地 位 。 长 期 以 来 ,由 于 管理 制度 上 的 不 完善 、 人 员 责 任 心 差 而 导致 的 
网 络 攻击 事件 层出不穷 。 尽 管 在 所 有 的 网 络 安 全 建设 中 ,网 络 安全 管理 制度 的 建设 都 被 
提 到 极其 重要 的 位 置 ,但 能 按 相关 标准 制定 出 具有 全 面 性 、 可 行 性 .合理 性 的 安全 制度 并 
严格 按 其 实施 的 项 目 数量 并 不 是 很 多 。 在 网 络 安全 建设 中 ,认真 实施 和 执行 安全 制度 ， 
能 从 很 大 程度 上 保证 网 络 的 安全 ,同时 为 网 络 的 管理 和 长 期 监控 提供 有 理 可 依 的 指导 性 
理论 。 例 如 ,建立 完善 的 机 房管 理 制度 ,完善 的 网 络 使 用 制度 、 责 任 到 人 的 设备 管理 制 
度 、 网 络 安全 应 急 预 案 和 定期 网 络 评估 制度 等 。 


2. 网 络 使 用 人 员 安 全 意识 的 培养 


通过 长 期 分 析 网 络 安全 事件 ,可 以 发 现 相 当 大 的 一 部 分 攻击 事件 是 由 于 工作 人 员 的 
安全 意识 薄弱 ,无 意 中 触发 了 入 侵 者 设 下 的 圈套 ,或 打开 了 带 有 恶意 攻击 企图 的 邮件 或 
网 页 造成 的 。 针 对 这 种 情况 ,首要 解决 的 问题 是 提高 网 络 使 用 人 员 的 安全 意识 ,定期 进 
行 相关 的 网 络 安全 知识 的 培训 。 全 面 提高 网 络 使 用 人 员 的 安全 意识 是 提高 网 络 安全 性 
的 有 效 手段 ,主要 包括 学 习 安 全 技术 ,学习 对 威胁 和 脆弱 性 进行 评估 的 方法 ,选择 安全 控 
制 的 标准 和 实施 。 在 无 法 保证 安全 性 的 情况 下 ,了 解 哪些 设置 有 和 危险 以 及 密码 的 设置 与 
安全 等 。 

安全 意识 和 相关 技能 的 教育 是 企业 安全 管理 中 重要 的 内 容 , 其 实施 力度 将 直接 关系 
到 企业 安全 策略 被 理解 的 程度 和 被 执行 的 效果 。 为 了 保证 安全 策略 的 成 功 和 有 效 , 高 级 
管理 部 门 应 当 对 企业 各 级 管理 人 员 用户、 技术 人 员 进 行 安全 培训 。 所 有 的 企业 人 员 必 
须 了 解 并 严格 执行 企业 安全 策略 。 在 安全 教育 具体 实施 过 程 中 ,不 同 的 人 员 有 不 同 的 安 
全 需求 。 主 管 信息 安全 工作 的 高 级 负责 人 或 各 级 管理 人 员 , 重 点 是 了 解 、 掌 握 企业 信息 
安全 的 整体 策略 及 目标 \ 信 息 安全 体系 的 构成 .安全 管理 部 门 的 建立 和 管理 制度 的 制定 
等 。 负 责 信息 安全 运行 管理 及 维护 的 技术 人 员 , 重 点 是 充分 理解 信息 安全 管理 策略 , 掌 
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握 安 全 评估 的 基本 方法 ,对 安全 操作 和 维护 技术 的 合理 运用 等 。 而 普通 用 户 的 重点 是 学 
习 各 种 安全 操作 流程 ,了 解 和 掌握 与 其 相关 的 安全 策略 ,包括 自身 应 该 承担 的 安全 职责 
等 。 根 据 以 上 不 同 的 需求 ,有 针对 性 地 对 人 员 进 行 特 定 的 安全 培训 。 这 种 安全 教育 应 当 
定期 的 ,持续 的 进行 。 

尽管 上 面 讲述 了 许多 网 络 安全 上 的 技术 保证 ,但 是 事实 证 明 , 许 多 入 侵 者 运用 社会 
工程 学 比 用 黑客 技术 更 为 方便 和 有 效 。 所 以 应 该 通过 严格 的 培训 使 工作 人 员 和 用 户 不 
要 轻易 相信 那些 打 电话 给 他 们 ,要 求 他 们 做 一 些 危 及 安全 事情 的 人 ,如 通过 电话 来 询问 
密码 和 其 他 有 关 网 络 安全 密码 等 。 工 作 人 员 在 透露 任何 有 关机 密 前 ,必须 明确 鉴别 对 方 
的 身份 。 另 外 ,在 实施 新 的 系统 和 项 目 时 ,应 该 遵守 目前 的 安全 策略 和 设计 过 程 ,使 安全 
人 员 成 为 项 目 设计 阶段 的 一 部 分 ,并 且 在 实施 过 程 的 早期 就 可 以 确定 安全 需求 。 在 通过 
一 项 新 的 安全 策略 时 ,应 该 检查 每 个 现 有 的 系统 与 新 策略 是 否 符合 ,如 果 存 在 不 符合 的 
情况 , 则 应 采取 措施 修改 它 ,使 之 符合 安全 策略 。 最 好 还 设立 内 部 审核 部 门 , 以 便 定期 审 
核 系 统 是 否 符合 安全 策略 ,并 定期 对 每 一 项 策略 进行 复查 ,以 保证 它 仍 然 适合 于 机 构 。 
对 于 大 部 分 策略 ,每 年 进行 一 次 复查 是 合适 的 ,如 果 发 现 与 现实 情况 有 不 相 适 应 的 地 方 ， 
就 应 当 对 策略 进行 调整 ,获得 批准 并 重新 开始 新 的 用 户 教育 过 程 。 


362 用 户主 机 保护 


主机 安全 性 主要 包括 客户 计算 机 的 安全 防护 以 及 到 服务 器 的 通信 线路 ,对 于 提供 网 
络 服务 的 主机 ,需要 通过 各 种 技术 手段 进行 安全 防护 。 同 样 , 对 于 普通 用 户 的 桌面 系统 
的 安全 性 也 特别 需要 注意 ,在 多 数 现代 操作 系统 中 ,如 对 文件 共享 .个 人 Web 和 FTP 服 
务 器 之 类 的 特性 使 得 工作 站 与 服务 器 之 间 的 安全 有 许多 共同 之 处 ,需要 遵守 共同 的 安全 
准则 。 目 前 ,普通 用 户 的 桌面 系统 主要 有 以 下 安全 隐患 。 


1. 共享 过 多 


当 用 户 共享 本 系统 多 于 必要 的 范围 时 ,就 会 出 现 由 文件 共享 带 来 的 较 大 危险 。 通 
常 , 如 果 其 他 用 户 需 要 看 到 的 仅 是 某 个 目录 ,但 却 共享 了 整个 卷 ( 如 整个 驱动 器 )。 在 这 
里 ,安全 危险 主要 来 自 网 络 内 部 而 不 是 外 部 。 用 户 必须 认真 配置 防火 墙 ,使 之 能 阻止 对 
文件 共享 连接 的 传送 。 在 任何 时 候 都 不 要 长 久 地 共享 操作 系统 的 主 目录 ,如 果 确 实 需 
要 , 则 应 该 建立 特殊 可 共享 目录 而 不 是 共享 任 一 工作 目录 ,可 以 新 建 一 个 如 “D:\Share” 
的 目录 以 提供 访问 ,并 确保 只 有 此 目录 包含 的 文件 才 可 共享 。 还 需要 保证 共享 在 最 小 的 
范围 内 实施 ,需要 认真 了 解 如 何 共享 文件 和 文件 夹 ,不 要 为 系统 留 下 隐患 。 另 外 ,如 果 用 
户 的 主机 上 具有 重要 文件 或 者 特殊 敏感 信息 ,应 当 将 文件 加 密 ,保证 文件 的 安全 存 取 。 


2. Web 和 FTP 服务 


在 常用 的 Windows 操作 系统 中 ,在 默认 情况 下 并 不 启用 Web 和 FTP 服务 器 ,但 是 
可 以 通过 其 他 方式 对 其 安装 并 提供 服务 。 由 于 Web 和 FTP 的 脆弱 性 ,使 其 极 容易 受到 
攻击 , 带 来 的 安全 隐患 主要 是 密码 窃取 。 通 常 FTP 服务 器 没有 加 密 认证 过 程 ,所 以 本 域 
用 户 可 通过 网 络 监听 与 分 析 捕 获 用 户 名 和 密码 。 另 外 ,所 有 通过 IP 监听 连接 的 系统 容 
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易 到 拒绝 服务 攻击 ,这 些 攻 击 可 以 锁定 用 户 系统 的 网 络 服务 或 使 用 户 系统 崩 演 。 如 果 在 
自己 的 工作 用 机 的 Web 页 中 安装 了 任何 脚本 ,可 能 会 受到 缓冲 溢出 攻击 ,入 侵 者 可 将 恶 
意 代 码 注 入 到 用 户 计算 机 内 存 中 ,并 窃取 对 该 计算 机 的 各 种 访问 特权 ,一 旦 计算 机 受到 
控制 ,就 会 成 为 攻击 其 他 网 络 的 跳板 。 另 外 ,不 正确 的 配置 Web 和 FTP 服务 ,会 提供 出 
并 不 愿 提供 的 一 些 共 享 数据 。 随 着 操作 系统 的 不 断 更 新 ,系统 包含 的 功能 越 来 越 多 , 功 
能 越 来 越 强大 ,但 随 之 而 来 的 是 潜在 的 危险 也 越 来 越 严 重 。 用 户 计算 机 开放 的 服务 越 
多 ,入 侵 者 可 利用 的 入 口 就 越 多 ,所 以 最 好 关闭 及 删除 所 有 用 不 上 的 服务 ,关闭 不 用 的 端 
口 ,以 免 遭 受 意 外 攻击 。 


3. 电子 邮件 服务 


用 户 可 能 会 收 到 来 自 陌生 人 的 邮件 附件 :也 可 能 会 收 到 来 自 熟人 意外 的 文件 ,一 些 
宏 病 毒 会 利用 Outlook 的 通讯 夭 将 病毒 复制 作为 附件 发 送 给 朋友 ,而 这 些 朋友 会 毫 无 戒 
心地 打开 执行 附件 。 入 侵 者 也 可 能 附加 一 个 伪装 的 木马 ,如 远程 控制 的 BO(Back 
Orifice) 包 ,来 控制 用 户 计算 机 。 通 过 邮件 客户 端 传播 病毒 已 经 是 一 个 非常 普遍 的 现象 ， 
所 以 尽 可 能 要 在 邮件 客户 端 中 加 装 了 杀毒 和 防 木马 软件 ,用 以 扫描 进来 的 信息 ,和 否则 极 
易 遭 到 攻击 。 有 可 能 的 话 , 使 用 基于 Web 方式 的 邮件 收发 ,可 以 有 效 减少 蠕虫 病毒 的 
扩散 。 


4. 协议 安全 


我 们 知道 各 种 Microsoft Windows 系统 都 是 按 在 网 络 上 运行 服务 的 需要 配置 协议 
的 ,包括 NetBEUI( 主 要 提供 Windows 联网 服务 ,包括 连接 打印 机 ,对 等 文件 共享 等 )、 
TCP/IP、IPX/SPX( 用 于 Novell NetWare 文件 与 打印 机 服务 以 及 其 他 相关 的 联网 服务 ) 
等 。 从 某 种 意义 上 来 说 ,在 网 络 中 启用 的 每 种 协议 都 会 有 安全 弱点 。 要 确认 用 户 所 需 的 
联网 协议 ,禁用 或 删除 一 切 不 必要 的 协议 。 协 议 越 少 ,意味 着 安全 性 越 高 。 需 要 明确 安 
全 不 是 选择 “正确 ”的 协议 ,而 是 正确 的 使 用 。 


5. 密码 


对 于 桌面 用 户 而 言 ,密码 保护 是 第 一 道 关 口 。 一 般 情况 下 ,可 以 通过 BIOS 设置 开机 
密码 ,然后 通过 操作 系统 设置 系统 密码 (Windows XP 等 )。 建 议 用 户 为 了 保证 系统 安全 ， 
尽 可 能 按照 密码 设置 的 要 求 设 置 密码 ,保证 系统 安全 。 另 外 ,在 访问 一 些 需要 密码 的 应 
用 系统 时 ,不 要 将 密码 缓存 在 机 器 中 ,以 避免 在 离开 时 ,别人 可 以 不 用 输入 密码 就 访问 一 
些 私 有 的 信息 。 


6. 软件 更 新 和 补丁 程序 


实际 上 ,没有 哪个 软件 是 安全 的 。 软 件 包 越 大 、 越 复杂 , 它 的 安全 漏洞 就 越 多 。 有 些 
漏洞 会 被 制造 商 \ 安 全 团队 等 发 现 , 产 品 的 开发 商会 发 布 更 新 、 补 丁 或 者 围绕 漏洞 的 工作 
来 尽快 解决 该 问题 。 一 旦 安全 漏洞 被 公布 ,入 侵 者 就 会 尝试 这 些 新 的 漏洞 ,用 户 必 须 及 
时 了 解 这些 安 全 漏洞 ,并 安装 补丁 或 采取 相应 的 措施 。 
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7. 其 他 需要 注意 的 


需要 使 用 正版 操作 系统 ,并 及 时 安装 系统 补丁 ,消除 操作 系统 本 身 的 安全 隐患 。 使 
用 正版 的 应 用 软件 和 工具 软件 ,并 安装 防火 墙 及 防 病毒 软件 ,还 应 该 通过 某 种 形式 的 自 
动 更 新 机 制 来 保持 更 新 。 不 要 安装 来 历 不 明 的 软件 ,上 网 时 留意 一 些 恶意 插件 ,在 没有 
搞 清楚 其 具体 功能 时 不 要 轻易 下 载 安装 ,不 要 访问 不 良 站 点 等 ,未 经 许可 或 安全 咨询 不 
要 更 改 网 络 设置 。 

通过 网 络 安全 策略 的 定义 与 设计 ,有 效 地 开发 安全 策略 ,是 保证 网 络 系 统 安全 运行 
的 关键 。 一 定 要 牢记 网 络 安全 是 一 个 系统 ,是 策略 、 处 理 生命 周期 .技术 与 运行 流程 的 结 
合 , 以 及 促使 环境 持续 安全 的 设计 方法 。 需 要 了 解 多 种 相关 知识 ,并 掌握 有 效 的 安全 检 
测 工具 ,如 网 络 扫描 、 端 口 监 听 等 工具 的 应 用 。 这 些 工具 的 使 用 是 保证 网 络 安全 有 效 的 
手段 ,也 是 系统 管理 员 必须 具备 的 能 力 。 除 了 要 求 系统 管理 员 对 于 整个 网 络 系统 采取 各 
种 措施 外 ,用 户 本 身 也 需要 在 思想 上 和 技术 上 重视 网 络 安全 ,安全 合理 地 使 用 自己 的 桌 
面 系统 ,加 强 安全 管理 ,从 而 有 效 地 保障 整个 网 络 的 安全 。 


习 题 3 


(1) 什么 是 网 络 安 全 策略 ? 其 主要 内 容 有 哪些 ? 

(2) 考查 本 单位 的 网 络 , 并 草拟 一 份 安全 策略 。 

(3) 结合 使 用 经 验 , 谈 谈 如 果 管 理 好 自己 的 计算 机 。 

(4) 网 络 监 听 的 原理 是 什么 ? 常见 的 网 络 端口 有 哪些 ,并 分 别 说 明 对 应 的 应 用 。 
(5) 从 网 络 管理 员 的 角度 , 简 述 局 域 网 应 采取 的 各 种 安全 策略 。 

(6) 虚拟 局 域 网 的 优势 有 哪些 ? 

(7) 虚拟 局 域 网 的 构建 有 哪 几 种 方式 ? 

(8) 如 何 制定 路 由 器 的 安全 策略 ? 


操作 系统 安全 


计算 机 系统 由 硬件 系统 和 软件 系统 组 成 ,软件 系统 又 可 以 分 为 系统 软件 和 应 用 软 
件 。 操 作 系统 作为 最 基本 的 系统 软件 , 它 是 计算 机 资源 的 直接 管理 者 ,是 计算 机 系统 的 
核心 控制 软件 ,也 是 计算 机 系统 安全 性 的 基础 保障 者 。 操 作 系 统 运行 在 硬件 系统 之 上 ， 
为 用 户 提 供 接 口 ,用 户 通 过 接口 来 操作 硬件 系统 ,同时 数据 库 、 应 用 软件 以 及 网 络 应 用 软 
件 等 都 运行 在 操作 系统 之 上 。 要 保证 这 些 应 用 软件 的 安全 运行 ,除了 依靠 这 些 软件 自身 
的 安全 性 以 外 ,关键 还 在 于 其 底层 操作 系统 的 安全 性 。 因 此 ,保障 操作 系统 的 安全 是 保 
障 整个 计算 机 系统 安全 的 基石 和 关键 。 操 作 系统 的 任何 脆弱 和 漏洞 ,都 会 导致 整个 计算 
机 系统 的 整体 安全 脆弱 性 。 操 作 系统 的 任何 功能 性 变化 ,都 会 导致 计算 机 系统 安全 脆弱 
性 分 布 情况 的 变化 。 所 以 ,要 真正 解决 硬件 系统 、 数 据 库 系统 、 应 用 软件 以 及 网 络 系统 的 
安全 问题 ,首先 要 研究 和 开发 出 具有 高 可 靠 性 、 高 容错 能 力 和 可 动态 配置 策略 的 安全 操 
作 系 统 。 


41 操作 系统 安全 和 概 迷 


411 操作 系统 安全 的 发 展 状况 


操作 系统 安全 性 是 计算 机 系统 安全 的 基础 ,要 妥善 解决 日 益 增 多 的 计算 机 安全 问 
题 ,必须 要 有 坚固 的 安全 操作 系统 作为 后 盾 ,这 就 要 求 寻 找到 切实 有 效 的 开发 方法 ,从 而 
设计 出 能 够 满足 实际 应 用 需要 的 安全 操作 系统 来 。 早 在 20 世纪 60 年 代 , 安 全 操作 系统 
的 研究 就 引起 了 研究 机 构 ( 尤 其 是 美国 军 方 ) 的 重视 ,开展 了 大 量 的 工作 ,并 取得 了 丰富 
的 成 果 。 

1967 年 ,计算 机 资源 共享 系统 的 安全 控制 问题 引起 了 美国 国防 部 的 高 度 重视 ,国防 
科学 部 (defense science board) 旗 下 的 计算 机 安全 特别 部 队 (task force on computer 
security) 的 组 建 拉 开 了 操作 系统 安全 研究 的 序幕 。 

1969 年 .C，Weissman 发 表 了 有 关 Adept-50 安全 控制 的 研究 成 果 。 安 全 Adept-50 
是 世界 上 的 第 一 个 安全 操作 系统 ,可 以 实际 投入 使 用 。 它 运行 于 IBM/360 硬件 平台 ,以 
一 个 形式 化 的 安全 模型 为 基础 ,实现 了 美国 的 一 个 军事 安全 系统 模型 ,为 给 定 的 安全 问 
题 提 供 了 一 个 比较 形式 化 的 解决 方案 。 系 统 支 持 的 基本 安全 条 件 是 ,对 于 读 操 作 不 允许 
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信息 的 敏感 级 别 高 于 用 户 的 安全 级 别 。 对 于 写 操作 ,在 授权 情况 下 ,允许 使 信息 从 高 敏 
感 级 别 移 向 低 敏 感 级 别 。 

1970 年 ,W. H. Ware 推出 的 研究 报告 对 多 渠道 访问 资源 共享 的 计算 机 系统 引起 的 
安全 问题 进行 了 研究 。 报 告 结合 实际 的 国防 信息 安全 等 级 划分 体制 ,分 析 了 资源 共享 系 
统 中 敏感 信息 可 能 受到 的 安全 威胁 ,提出 了 解决 计算 机 安全 问题 的 建议 途径 。 报 告 研究 
的 主要 目标 是 多 级 安全 系统 (multi-level security system) 在 计算 机 中 的 实现 。 

1972 年 ,作为 承担 美国 空军 的 一 项 计算 机 安全 规划 研究 任务 的 研究 成 果 ,J. P. 
Anderson 提出 了 引用 监控 机 (reference monitor)、 引 用 验证 机 制 (reference validation 
mechanism) ,安全 核 (security kernel) 和 安全 建 模 (modeling) 等 重要 思想 。 这 些 思 想 是 
在 研究 系统 资源 受 控 共享 (controlled sharing) 问 题 的 背景 下 产生 的 。 在 受 控 共享 和 引用 
监控 机 制 思想 的 基础 上 , J.P. Anderson 定义 了 安全 核 的 概念 。 安 全 核 是 系统 中 与 安全 
性 的 实现 有 关 的 部 分 ,包括 引用 验证 机 制 .访问 控制 机 制 、 授 权 机 制 和 授权 的 管理 机 制 等 
成 分 。J. P. Anderson 指出 ,要 开发 安全 系统 ,首先 必须 建立 系统 的 安全 模型 。 安 全 模型 
给 出 安全 系统 的 形式 化 定义 ,正确 地 综合 系统 的 各 类 因素 。 

1973 年 ,B. W. Lampson 通过 对 程序 的 禁闭 (confinement) 问 题 的 研究 提出 了 隐 通 
道 (covert channel) 的 概念 。 

1975 年 ,J. H. Saltzer 和 M. D. Schroeder 以 保护 机 制 的 体系 结构 为 中 心 ,探讨 了 计 
算 机 系统 的 信息 保护 问题 ,重点 考察 了 权能 (capability) 的 实现 结构 和 访问 控制 表 (access 
control list) 的 实现 结构 ,给 出 了 信息 保护 机 制 的 八条 设计 原则 。 它 们 是 机 制 经 济 性 
(economy) 原 则 、 失 败 -保险 (fail-safe) 上 默认 原则 ,完全 仲裁 原则 、 开 放 式 设计 原则 ,特权 分 
离 原 则 、 最 小 特权 原则 、 最 少 公共 机 制 原则 和 心理 可 接受 性 原则 。 

1976 年 ,M. A，Harrison、W. L. Ruzzo 和 J. D，Ullman 提出 了 操作 系统 保护 
(protection) 的 第 一 个 基本 理论 。 该 理论 形式 化 地 给 出 保护 系统 模型 的 定义 ,并 通过 三 个 
定理 给 出 有 关 保 护 系 统 的 一 些 结果 。Harrison 等 还 用 该 模型 对 Unix 系统 的 保护 系统 进 
行 了 刻画 。 

继 Adept-50 之 后 ,特别 是 Anderson 的 报告 之 后 , 越 来 越 多 的 安全 操作 系统 项 目 相 
继 被 启动 ,一 系列 的 安全 操作 系统 被 设计 和 开发 出 来 ,典型 的 有 Moultics、Mitre 安全 核 、 
UCLA 数据 安全 Unix、KSOS 和 PSOS 等 。 原 始 的 Multics 操作 系统 虽然 没有 把 安全 性 
(security) 列 入 设计 目标 ,但 保护 (protection) 功 能 的 设计 是 一 个 重点 。 原 始 Multics 中 
几乎 所 有 的 特权 软件 都 在 最 里 层 保 护 环 上 。 原 始 Multics 的 开发 对 安全 模型 和 验证 没有 
考虑 ,但 微妙 的 保护 结构 和 层次 化 的 设计 使 得 它 成 为 一 个 比较 好 的 增加 安全 性 控制 的 基 
础 。Mitre 安全 核 是 基于 BLP 模型 为 PDP-11 机 器 开发 的 安全 核 原 型 ,性 能 比较 差 。 
UCLA 数据 安全 Unix 是 为 PDP-11 机 器 开发 的 提供 Unix 用 户 界面 的 安全 核 原 型 。 
KSOS(Kernelized Secure Operating System) 项 目的 目标 是 为 机 器 开发 一 个 可 投放 市 场 
的 安全 操作 系统 。PSOS(Provably Secure Operating System) 是 安全 操作 系统 的 一 个 设 
计 项 目 , 基 于 层次 式 开发 方法 ,通过 形式 化 技术 实现 对 安全 操作 系统 的 描述 和 验证 。 

1976 年 ,T. A. Linden 讨论 了 结构 化 设计 技术 对 操作 系统 安全 性 的 影响 ,重点 论述 
了 小 保护 域 和 扩展 类 型 的 客体 (extended-type object) 这 两 个 支持 安全 性 的 系统 结构 化 思 
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想 。 小 保护 域 可 以 实现 程序 模块 级 的 控制 , 它 允 许 一 个 程序 中 的 模块 运行 在 受到 控制 的 
环境 中 ,防止 该 模块 的 行为 对 程序 的 其 他 部 分 造成 不 良 的 影响 。 

在 探索 如 何 研制 安全 计算 机 系统 的 同时 ,人 们 也 在 研究 着 如 何 建 立 评价 标准 去 衡量 
计算 机 系统 的 安全 性 。 第 一 个 计算 机 安全 评价 标准 的 诞生 ,把 安全 操作 系统 研究 带 和 人 了 
一 个 新 的 阶段 。 

1983 年 ,美国 国防 部 颁布 了 历史 上 第 一 个 计算 机 安全 评价 标准 ,这 就 是 著名 的 可 信 
计算 机 系统 评价 标准 ,简称 TCSEC。1985 年 ,美国 国防 部 对 TCSEC 进行 了 修订 。 
TCSEC 标准 是 在 基于 安全 核 技 术 的 安全 操作 系统 研究 的 基础 上 制定 出 来 的 ,标准 中 使 
用 的 可 信 计 算 基 (trusted computing base,.TCB) 就 是 安全 核 研 究 结果 的 表现 。 

1984 年 ,AXIOM 技术 公司 的 S，Kramer 发 表 了 LINUS IV 系统 的 设计 与 开发 成 
果 。LINUS IV 是 Unix 类 的 实验 型 安全 操作 系统 。 传 统 的 Unix 系统 虽然 提供 一 定 的 
保护 机 制 ,但 安全 性 不 是 它 的 设计 目标 。LINUS IV 以 4. 1BSD Unix 为 原型 ,结合 
TCSEC 标准 的 要 求 , 对 安全 性 进行 了 改造 和 扩充 。 

1986 一 1987 年 ,IBM 公司 的 V. D. Gligor 等 发 表 了 安全 Xenix 系统 的 设计 与 开发 成 
果 。 安 全 Xenix 是 以 Xenix 为 原型 的 实验 型 安全 操作 系统 ,属于 Unix 类 的 安全 操作 系 
统 , 它 要 实现 的 是 TCSEC 标准 B2-Al 级 的 安全 要 求 。 对 Unix 系统 的 原 有 内 核 进行 改 
造 和 扩充 ,使 它 支 持 新 的 安全 政策 和 Unix 的 安全 政策 ,并 保持 相应 的 系统 接口 。 

1988 年 ,AT&T Bell 实验 室 的 C. W. Flink I 和 JJ. D， Weiss 发 表 了 System V/ 
MLS 系统 的 设计 与 开发 成 果 。System V/MLS 是 以 AT&T 的 Unix System V 为 原型 
的 多 级 安全 操作 系统 ,以 TCSEC 标准 的 安全 等 级 B 为 设计 目标 。 

1989 年 ,加拿大 多 伦 多 大 学 的 G. L. Grenier、R. Holt 和 M.， Funkenhauser 发 表 了 
安全 TUNIS 系统 的 设计 与 开发 成 果 。TUNIS(Toronto UNIversity system) 是 加 拿 大 多 
伦 多 大 学 开发 的 一 个 与 Unix 兼容 的 操作 系统 ,是 Unix 内 核 的 一 个 新 的 实现 。 该 系统 用 
强 类 型 的 Turing Plus 高 级 语言 编写 ,具有 较 好 的 模块 化 结构 。 安 全 TUNIS 系统 内 核 中 
除 安全 管理 器 以 外 的 其 他 部 分 构成 安全 机 制 , 它 能 满足 TCSEC 标准 的 B3 级 要 求 。 

1990 年 ,TRW 公司 的 N. A，Waldhart 和 B.L. Di Vito 等 发 表 了 ASOS 系统 的 设计 
与 开发 成 果 。ASOS(army secure operating system) 是 针对 美军 的 战术 需要 而 设计 的 军 
用 安全 操作 系统 ,由 两 类 系统 组 成 ,其 中 ,一 类 是 多 级 安全 操作 系统 ,设计 目标 是 满足 
TCSEC 标准 的 Al 级 要 求 ; 另 一 类 是 专用 安全 操作 系统 ,设计 目标 是 满足 TCSEC 标准 
的 C2 级 要 求 。 

1992 年 ,美国 推出 联邦 标准 草案 , 欲 取代 TCSEC ,消除 TCSEC 的 局 限 性 。1993 年 ， 
美国 国防 部 在 TAFIM (technical architecture for information management) 计 划 中 推出 
新 的 安全 体系 结构 DGSA (DoD goal security architecture)。DGSA 的 显著 特点 之 一 是 
对 多 种 安全 政策 支持 的 要 求 ,这 为 安全 操作 系统 的 研究 提出 了 新 的 挑战 ,促使 安全 操作 
系统 研究 进入 了 一 个 新 的 时 期 。 

1997 年 完成 的 DTOS(distributed trusted operating system) 项 目 属 于 Synergy 项 目 
的 一 个 组 成 部 分 。Synergy 项 目 是 操作 系统 研究 的 一 个 大 项 目 , 它 的 目标 是 为 安全 分 布 
式 系统 开发 一 个 灵活 的 、 基 于 微 内 核 的 体系 结构 ,激励 安全 操作 系统 厂商 在 下 一 代 面 向 
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市 场 的 操作 系统 中 提供 强大 的 安全 机 制 。DTOS 每 个 任务 包含 一 组 线程 。 服 务 器 在 系 
统 中 的 实现 体现 为 一 个 或 多 个 任务 。 端 口 是 任 务 传递 消息 的 单 向 通信 通道 。 

从 单一 政策 支持 到 多 种 政策 支持 ,安全 操作 系统 迈 出 了 向 实际 应 用 环境 接近 的 可 喜 
一 步 。 然 而 ,R. Spencer 等 指出 ,从 支持 多 种 安全 策略 到 支持 策略 灵活 性 上 来 看 ,还 有 相 
当 一 段 距离 ,支持 策略 灵活 性 的 系统 必须 有 能 力 对 执行 安全 策略 控制 下 的 高 级 功能 的 低 
级 对 象 进行 细 粒 度 的 访问 控制 ,必须 能 够 确保 访问 权限 的 传播 与 安全 政策 保持 一 致 , 必 
须 有 能 力 撤回 先前 已 授予 的 访问 权限 ,这 是 处 理 政策 变化 或 动态 策略 的 需要 ,因为 安全 
策略 通常 并 不 是 静止 的 。 

基于 Fluke 的 Flask 安全 操作 系统 Flask7 是 以 Fluke 操作 系统 为 基础 开发 的 安全 
操作 系统 原型 。Fluke 是 一 个 基于 微 内 核 的 操作 系统 , 它 提供 一 个 基于 递归 虚拟 机 思想 
的 ,利用 权能 系统 的 基本 机 制 实现 的 体系 结构 。Flask 是 Fluke 保障 计划 项 目的 研究 成 
果 , 这 个 项 目 属于 DTOS 项 目的 延伸 。 实 际 上 ,Flask 系统 的 安全 体系 结构 是 从 DTOS 
原型 系统 的 安全 体系 结构 衍生 而 来 的 。 然 而 ,虽然 DTOS 的 安全 体系 结构 是 独立 于 特定 
安全 政策 的 ,但 它 却 存在 无 法 支持 动态 安全 政策 的 不 足 。 与 此 相反 ,Flask 的 安全 体系 结 
构 克 服 了 DTOS 体系 结构 中 的 不 足 ,实现 了 动态 安全 政策 ,支持 政策 灵活 性 。 

在 DTOS 项 目 中 ,美国 安全 计算 公司 (SCC) 和 国家 安全 局 (NSA) 开 发 了 DTOS 安全 
体系 结构 ,该 体系 结构 的 原型 建立 在 Mach 微 内 核 之 上 。DTOS 项 目 之 后 ,Mach 微 内 核 
的 工作 没有 得 到 持续 的 支持 ,因而 NSA 和 Utah 大 学 合作 启动 了 Fluke 保障 计划 项 目 ， 
把 DTOS 安全 体系 结构 集成 到 Utah 大 学 开发 的 Fluke 操作 系统 中 ,同时 对 该 体系 结构 
进行 了 改造 ,后 来 形成 的 就 是 Flask 安全 体系 结构 。 

SE-Linux8 是 以 Linux 操作 系统 为 基础 的 基于 Flask 安全 体系 结构 的 安全 操作 系 
统 。2001 年 ,P. Loscocco 等 发 布 了 该 系统 的 研究 成 果 。Flask 是 基于 微 内 核 的 系统 原 
型 ,Linux 是 非 微 内 核 的 操作 系统 。 由 网 络 伙伴 公司 (NAI) 的 实验 室 、 安 全 计算 公司 
(SCC) 和 MITRE 公司 等 协助 NSA 完成 集成 工作 。NSA 已 经 在 Linux 内 核 的 主要 子 系 
统 中 实现 了 Flask 安全 体系 结构 。 在 SE-Linux8 实现 中 ,安全 服务 器 和 AVC 是 在 Linux 
操作 系统 中 增加 的 两 个 新 组 件 。 安 全 服务 器 是 Linux 内 核 中 的 其 他 子 系统 属于 客体 管 
理 器 。SE-Linux8 实现 的 安全 服务 器 定义 了 一 个 由 类 型 裁决 (TE) 政 策 、 基 于 角色 的 访问 
控制 (RBAC) 政 策 和 多 级 安全 (MLS) 政 策 组 合成 的 安全 政策 ,其 中 TE 和 RBAC 政策 是 
系统 实现 的 安全 政策 的 有 机 组 成 ,系统 提供 MLS 政策 支持 。 

相对 而 言 ,中 国 的 安全 操作 系统 研究 起 步 比 较 晚 。1993 年 ,国防 科技 大 学 对 基于 
TCSEC 标准 和 UNIX System V3.2 版 的 安全 操作 系统 SUNIX 的 研究 与 开发 进行 了 探 
讨 。 在 SUNIX 的 开发 过 程 中 ,课题 组 的 研究 人 员 提 出 了 一 个 面向 最 小 特权 原则 的 改进 
的 BLP 模型 。 在 SUNIX 研究 工作 的 基础 上 ,海军 计算 技术 研究 所 按照 TCSEC 标准 的 
B2 安全 等 级 的 要 求 , 围 绕 UNIX System V 安全 增强 系统 UNIX SVR4. 2/SE 的 开发 
展 了 研究 工作 。 在 “COSA 国产 系统 软件 平台 ”国家 “ 八 五 ”科技 攻关 项 目 中 ,围绕 着 
UNIX 类 国产 操作 系统 COSIX V2.0 的 安全 子 系统 的 设计 与 实现 工作 ,中 国安 全 操作 系 
统 的 研究 得 到 了 进一步 的 深入 。 中 国 计 算 机 软件 与 技术 服务 总 公司 ,海军 计算 技术 研究 
所 和 中 国 科 学 院 软件 研究 所 等 单位 参加 了 COSIX V2. 0 安全 子 系 统 的 开发 工作 。 


于 人 ys 操作 系统 安全 
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COSIX V2. 0 是 一 个 基于 微 内 核 的 操作 系统 ,其 安全 子 系统 的 设计 目标 是 TCSEC 标准 
的 Bl 十 安全 等 级 ,主要 安全 功能 包括 安全 登录 、 自 主 访问 控制 ,强制 访问 控制 ,特权 管理 、 
审计 和 可 信和 通路 等 。1998 年 ,该 研究 所 按照 TCSEC 标准 的 Bl 安全 等 级 的 要 求 对 UNIX 
操作 系统 的 内 核 进行 了 改造 。 

以 Linux 为 代表 的 自由 软件 在 中 国 的 广泛 流行 对 中 国安 全 操作 系统 的 研究 与 开发 
具有 积极 的 推动 作用 。1999 年 ,中 国 科 学 院 软件 研究 所 推出 了 红旗 Linux 中 文 操作 系统 
发 行 版 本 。 同 时 ,开展 了 基于 Linux 的 安全 操作 系统 的 研究 与 开发 工作 。 到 2000 年 ,中 
国 的 安全 操作 系统 研究 人 员 相 继 推出 了 一 批 基于 Linux 的 安全 操作 系统 开发 成 果 , 如 中 
国 科学 院 计 算 技术 研究 所 研究 开发 的 基于 Linux 的 安全 操作 系统 LIDS10 ,南京 大 学 开 
发 的 基于 Linux 的 安全 操作 系统 SoftOS ,中国 科学 院 信 息 安全 技术 工程 研究 中 心 开发 的 
基于 Linux 的 安全 操作 系统 SecLinux。 

此 外 ,信息 产业 部 电子 第 30 研究 所 、 国 防 科技 大 学 等 其 他 单位 也 以 Linux 为 基础 开 
展 了 安全 操作 系统 的 研究 与 开发 工作 。 


412 操作 系统 安全 的 级 别 划分 


评价 一 个 操作 系统 是 否 安全 以 及 这 种 安全 达到 了 哪 种 程度 的 安全 级 别 , 需 要 一 个 评 
价 标准 来 对 其 进行 衡量 。 国 外 已 经 在 操作 系统 的 检测 和 评估 方面 做 了 大 量 的 工作 。 
1983 年 ,美国 国家 计算 机 中 心 发 表 了 著名 的 “可 信任 计算 机 标准 评价 准则 ”(trusted 
computer standards evaluation criteria,TCSEC)。 该 标准 用 可 信 计 算 基 (TCB) 描 述 计 算 
机 系统 中 的 安全 支持 机 制 ,在 高 安全 等 级 的 要 求 中 追求 实现 具备 引用 验证 机 制 和 安全 核 
性 质 的 TCB。1985 年 ,美国 国防 部 计算 机 安全 中 心 (DoDCSC) 对 TCSEC 文本 进行 了 修 
订 , 推 出 了 “DoD 可 信 计 算 机 系统 评估 准则 ”。 在 TCSEC 的 影响 下 ,德国 .英国 .加拿大 等 
在 80 年 代 后 期 陆续 推出 了 各 自 的 标准 ,如 加 拿 大 的 安全 评价 标准 (Canadian trusted 
computer product evaluation criteria, CTCPEC)。CTCPEC 是 专门 针对 政府 需求 而 设 
计 , 该 标准 将 安全 分 为 功能 性 需求 和 保证 性 需要 两 部 分 。 功 能 性 需求 共 划分 为 四 大 类 
机 密 性 ,完整 性 、 可 用 性 和 可 控 性 。 每 种 安全 需求 又 可 以 分 成 很 多 小 类 来 表示 安全 性 上 
的 差别 ,分 级 条 数 为 0 一 5 级 。 欧 洲 各 国 的 标准 最 终 发 展 成 统一 的 欧洲 标准 ITSEC 
(information technology security evaluation criteria)。ITSEC 是 欧洲 多 国安 全 评价 方法 
的 综合 产物 ,应 用 领域 为 军队 、 政 府 和 商业 。 该 标准 将 安全 概念 分 为 功能 与 评估 两 部 分 。 
功能 准则 从 F1 一 F10 共 分 10 级 。F1 一 F5 级 对 应 于 TCSEC 的 D 一 A,F6 一 Fl10 级 分 别 
对 应 数据 与 程序 的 完整 性 .系统 的 可 用 性 数据 通信 的 完整 性 .数据 通信 的 保密 性 与 机 密 
性 以 及 完整 性 的 网 络 安 全 。 评 估 准 则 分 为 6 级 ,分 别 是 测试 .配置 控制 和 可 控 的 分 配 、 能 
访问 详细 设计 和 源码 ,详细 的 脆弱 性 分 析 、 设 计 与 源码 明显 对 应 以 及 设计 与 源码 在 形式 
上 一 致 。1991 年 1 月 ,美国 联合 荷 法 、 德 . 英 \ 加 等 国 制定 了 通用 信息 技术 安全 评价 标准 
(common criteria for IT security evaluation，CC) ,并 于 1996 年 1 月 发 布 了 CC 的 
1.0 版 , 它 建 立 在 美国 的 TCSEC .欧洲 的 ITSEC、 加 拿 大 的 CTCPEC 等 安全 评价 标准 的 
基础 上 ,吸收 了 各 个 标准 的 长 处 和 优点 ,从 而 成 为 一 个 国际 通用 的 安全 标准 。 

我 国安 全 评价 标准 的 制定 工作 相对 较 晚 , 于 1999 年 9 月 13 日 发 布 。2001 年 1 月 1 
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日 实施 了 中 华人 民 共 和 国 国 家 标准 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 
17859—1999) (classified criteria for security protection of computer information 
system) ,其 规定 了 计算 机 系统 安全 保护 能 力 的 五 个 等 级 ,第 一 级 为 用 户 自主 保护 级 ,第 
二 级 为 系统 审计 保护 级 ,第 三 级 为 安全 标记 保护 级 ,第 四 级 为 结构 化 保护 级 ,第 五 级 为 访 
问 验证 保护 级 。 实 际 上 ,我国 国 标 是 将 国外 的 最 低级 D 级 和 最 高 级 Al 级 取消 ,余下 的 分 
为 五 级 ,TCSEC 中 的 Bl 级 与 GB 17859 的 第 三 级 对 应 。GB 17859 一 1999 标准 的 制定 和 
颁布 为 我 国 计 算 机 信和 号 系统 安全 法 规 的 制定 和 执法 部 门 的 监督 检查 提供 了 依据 ,为 安全 
产品 的 研制 提供 技术 支持 ,同时 也 为 我 国安 全 系统 的 建设 和 管理 提供 了 技术 指导 。 操 作 
系统 的 安全 等 级 划分 应 当 依 据 这 个 标准 。 安 全 操作 系统 应 当 具 有 我 国 自 主 版 权 , 并 且 通 
过 国家 主管 部 门 的 权威 测评 和 认证 。 在 要 求 较 低 的 场合 ,可 以 对 主流 操作 系统 进行 安全 
加 固 , 即 在 操作 系统 的 内 核 之 外 进行 安全 加 固 , 其 安全 功能 和 安全 保障 程度 ,同样 必须 通 
过 国家 主管 部 门 的 测评 和 认证 。 

虽然 TCSEC 可 以 提供 很 多 功能 ,但 只 基本 适合 客户 机 /服务 器 计算 时 代 的 情况 。 尽 
管 其 目标 令 人 羡慕 ,然而 在 TCSEC 创建 时 ,客户 机 /服务 器 计算 时 代 才 刚刚 开始 。 到 了 
2004 年 ,C2 标准 已 经 是 一 个 过 时 的 基于 军事 应 用 的 标准 ,不 能 很 好 地 在 公司 计算 环境 下 
工作 ,不 能 应 对 高 等 级 计算 机 安全 中 的 重要 发 展 ,并 且 难 以 实现 网 络 化 。 另 外 ,保证 和 功 
能 相 结 合 才 能 真正 实现 TCSEC ,而 大 多 数 环境 下 还 不 能 有 足够 的 人 员 支 持 TCSEC 要 求 
的 安全 水 平 。 当 前 操作 系统 的 设计 师 可 以 使 用 这 些 模型 作为 参考 ,选择 使 用 能 够 提供 最 
佳 效 果 的 模型 ,并 且 相 应 地 设计 出 自己 的 系统 。 

国际 标准 化 组 织 ISO 开发 了 一 个 能 够 被 作为 国际 应 用 的 新 的 常用 标准 评估 方法 。 
新 方法 后 来 发 展 成 为 通用 标准 ,其 目的 是 综合 各 种 国际 性 的 和 不 同类 型 的 标准 成 为 一 种 
新 的 评估 信息 技术 产品 的 标准 。 经 过 努力 ,成 为 现在 的 国际 标准 ISO 15408 一 1999( 信 息 
技术 安全 评估 的 国际 通用 标准 )。 它 有 三 个 区 别 , 但 又 是 相关 的 部 分 组 成 ,分 别 有 单 独 的 
文档 。 第 一 部 分 是 对 通用 标准 的 概述 .定义 了 信息 技术 评估 的 一 般 概念 和 原则 ,并 介绍 
了 评估 的 通用 模型 。 第 一 部 分 还 介绍 了 针对 表现 信息 技术 安全 对 象 .针对 选择 和 定义 信 
息 技术 安全 要 求 和 编写 产品 和 系统 高 等 级 技术 规范 的 操作 方法 。 第 二 部 分 详细 介绍 了 
具体 的 安全 功能 要 求 以 及 针对 评估 目标 (TOC) 表 现 安全 功能 要 求 的 标准 。 第 三 部 分 详 
细 介 绍 了 安全 保障 要 求 并 定义 了 一 组 保障 部 件 作 为 表现 TOE 保障 要 求 的 标准 方式 , 列 
出 了 一 组 保障 部 件 、 系 列 和 类 并 定义 了 保护 配置 文件 和 安全 目标 的 评估 标准 ,同时 还 表 
现 了 针对 分 等 级 TOE 保障 定义 预先 定义 的 通用 标准 范围 的 评估 保障 等 级 , 即 评估 保障 
等 级 (EAL)。EAL 安全 评估 认证 等 级 越 高 .操作 系统 安全 的 可 信 度 越 高 。 保 护 配置 文 
件 (PP) 和 安全 目标 (ST) 是 通用 标准 的 两 个 构成 模块 ,保护 配置 文件 定义 了 对 具体 产品 
类 型 的 一 组 标准 安全 要 求 ,这 些 配置 文件 构成 了 通用 标准 的 基础 。 通 过 列 出 所 需 的 产品 
系列 安全 特性 的 方法 ,通用 标准 允许 产品 说 明 与 相关 保护 配置 文件 的 相关 性 。 在 进行 通 
用 标准 评估 时 ,产品 根据 具体 的 保护 配置 文件 进行 测试 ,以 便 得 出 其 安全 能 力 的 可 靠 
证 明 。 
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413 操作 系统 安全 的 基本 要 求 


一 般 而 言 ,计算 机 系统 的 安全 威胁 可 以 归纳 为 软件 设计 和 实现 方面 的 缺陷 与 漏洞 、 
系统 的 配置 和 操作 不 当 两 个 主要 方面 。 

计算 机 系统 软件 设计 和 实现 的 缺陷 与 漏洞 包括 作为 计算 机 核心 的 操作 系统 、 作 为 系 
统 软件 的 编译 器 和 数据 库 以 及 提供 服务 的 应 用 程序 等 。 这 些 软件 由 于 功能 复杂 、 规 模 庞 
大 ,如 果 没 有 安全 理论 的 指导 ,因而 会 导致 诸如 缓冲 区 溢出 、 符 号 连接 、 特 洛 伊 木马 等 各 
种 各 样 的 系统 漏洞 。 这 些 漏洞 一 旦 被 发 现 ,就 会 对 系统 的 安全 构成 致命 的 威胁 。TCP/ 
IP 协议 徐 就 是 一 个 典型 的 例子 ,由 于 其 在 设计 规划 的 时 候 没 能 对 安全 性 给 予 足够 的 考 
虑 ,因此 导致 现在 基于 TCP/IP 的 各 种 各 样 的 漏洞 ,如 哄骗 会 话 支持 .SYN 泛 洪 等 。 

由 于 在 使 用 计算 机 系统 的 过 程 中 ,对 操作 系统 的 配置 和 应 用 不 当 , 很 容易 就 会 被 攻 
击 者 突破 系统 的 安全 防范 体系 。 一 些 操作 系统 默认 的 安装 配置 并 不 安全 ,需要 根据 要 求 
对 系统 进行 加 固 。 经 过 安全 配置 ,系统 的 安全 性 会 得 到 较 大 的 提高 ,可 以 抵御 大 部 分 常 
见 的 对 于 本 系统 的 安全 威胁 。 在 具体 应 用 中 ,这 需要 对 应 用 环境 有 较 强 的 理解 ,并 需要 
有 相当 的 知识 储备 ,而 一 旦 配置 不 当 就 会 带 来 严重 的 后 果 。 如 果 是 系统 管理 员 和 安全 管 
理 员 出 现 管理 配置 的 操作 失误 , 极 有 可 能 造成 重大 安全 事故 。 

安全 操作 系统 是 在 传统 操作 系统 的 基础 上 实现 了 一 定安 全 技术 的 操作 系统 , 它 提 供 
了 访问 控制 .最 小 特权 管理 和 安全 审计 等 机 制 ,采用 各 种 安全 策略 模型 ,在 系统 硬件 和 资 
源 以 及 用 户 和 应 用 程序 之 间 进 行 符合 预定 义 安全 策略 的 调用 ,限制 对 系统 资源 的 非法 访 
问 和 阻止 黑客 对 系统 的 人 侵 。 操 作 系 统 需要 按 系统 安全 策略 对 用 户 的 操作 进行 存 取 控 
制 ,防止 用 户 对 计算 机 资源 的 非法 存 取 ;标识 系统 中 的 用 户 和 身份 鉴别 ;监督 系统 运行 的 
安全 性 ;保证 系统 自身 的 安全 性 和 完整 性 ;并 能 够 完成 特定 的 网 络 安全 功能 的 操作 。 其 
主要 功能 如 下 。 


1. 进程 的 管理 与 控制 


在 多 用 户 计算 机 系统 中 ,必须 根据 不 同 授权 范围 将 用 户 隔离 ,但 同时 又 要 允许 用 户 
在 受 控 路 径 上 进行 信息 交换 。 构 造 一 个 安全 操作 系统 的 核心 问题 就 是 具备 多 道 程序 功 
能 ,而 多 道 程序 功能 得 以 实现 又 取决 于 进程 的 快速 转换 。 


2. 文件 的 管理 与 保护 


包括 对 普通 实体 的 管理 和 保护 (对 实体 的 一 般 性 访问 存 取 控制 ) 和 特殊 实体 的 管理 
和 保护 ( 含 用 户 身份 鉴别 的 特定 的 存 取 控制 ) 。 


3. 运行 域 的 控制 


运行 域 包括 系 统 的 运行 模式 ,状态 和 上 下 文 关系 。 和 运行 域 一般 由 硬件 支持 ,也 需要 
内 存 管 理 和 多 道 程序 支持 。 
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4. 输入 /输出 的 访问 控制 
操作 系统 安全 不 允许 用 户 在 指定 存储 区 之 外 进行 读 、 写 操作 。 
5. 内 存 管理 与 保护 


内 存 的 管理 是 指 要 高 效 利用 内 存 空间 。 内 存 的 保护 是 指 在 单 用 户 系统 中 ,在 某 一 时 
刻 , 内 存 中 只 运行 一 个 用 户 进程 ,要 防止 它 不 影响 操作 系统 的 正常 运行 。 在 多 用 户 系统 
中 ,多 个 用 户 进程 并 发 ,要 隔离 各 个 进程 的 内 存 区 ,防止 它 影 响 操作 系统 的 正常 运行 。 内 
存 的 管理 与 保护 两 者 密 不 可 分 。 


6. 审计 日 志 管理 


安全 操作 系统 负责 对 涉及 系统 安全 的 操作 做 完整 的 记录 以 及 报警 或 事后 追查 ,而 且 
还 必须 保证 能 够 独立 地 生成 维护 和 保护 审计 过 程 免 遭 非法 访问 、 算 改 和 毁坏 。 


414 操作 系统 安全 的 设计 原则 


操作 系统 安全 的 设计 是 一 个 复杂 而 艰巨 的 过 程 , 涉 及 信息 保护 机 制 的 设计 和 安全 内 
核 的 设计 。 对 于 信息 保护 而 言 , 人 们 以 保护 机 制 的 体系 结构 为 中 心 , 给 出 了 信息 保护 机 
制 的 八条 设计 原则 。 


1. 经 济 性 原则 


安全 保护 机 制 应 尽 可 能 设计 得 简洁 ,这 样 可 以 减少 设计 和 实现 错误 ,一 旦 产生 这 样 
的 错误 ,在 进行 软件 排 错时 才能 较 好 地 找到 出 错 代码 。 

失败 -安全 上 默认 原则 : 访问 判定 应 建立 在 显 式 授权 的 基础 上 。 在 默认 的 情况 下 ,没有 
明确 授权 的 访问 方式 将 被 视 做 不 允许 的 方式 。 如 果 主 体 想 以 该 种 方式 进行 访问 是 不 会 
成 功 的 ,因此 ,对 系统 而 言 就 是 安全 的 。 


2. 完全 仲裁 原则 


对 每 一 个 客体 的 每 次 访问 都 必须 经 过 检查 ,以 确认 是 否 已 经 得 到 授权 。 
开放 式 设计 原则 : 将 保护 机 制 的 抗 攻 击 能 力 建立 在 设计 公开 的 基础 上 ,通过 开放 式 
的 设计 ,在 公开 的 环境 中 设法 增强 保护 机 制 的 防御 能 力 。 


3. 特权 分 离 原 则 


为 一 项 特权 划分 出 多 个 决定 因素 , 仅 当 所 有 决定 因素 均 具 备 时 ,才能 行使 该 项 特权 。 
最 小 特权 原则 : 分 配给 系统 中 的 用 户 ( 组 ) 或 程序 的 特权 是 其 能 完成 特定 工作 所 必须 
具有 的 特权 的 最 小 集合 。 


4. 最 少 公共 机 制 原 则 
把 由 两 个 以 上 用 户 共用 和 被 所 有 用 户 依赖 的 机 制 的 数量 减 到 最 小 。 每 一 个 共享 机 
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制 都 是 一 条 潜在 的 用 户 间 的 信息 通路 ,要 谨慎 设计 ,避免 无 意 中 破 坏 安全 性 。 
5. 方便 使 用 的 原则 


为 使 安全 机 制 能 得 到 贯彻 ,系统 应 该 为 用 户 提供 友好 的 用 户 接口 ,便于 用 户 使 用 。 
在 用 户 界 面 的 设计 上 要 简单 易 用 。 

对 于 安全 内 核 的 设计 原则 而 言 , 安 全 内 核 的 软件 和 硬件 是 可 信 的 , 它 有 三 个 基本 的 
设计 原则 。 

(1) 隔离 性 原则 : 要 求 安全 内 核 有 防 自 改 能 力 , 即 原始 的 操作 系统 要 尽 可 能 地 保护 
自己 ,以 防 遭 到 偶然 的 破坏 。 在 实际 实施 隔离 原则 时 需要 软 硬 件 的 结合 。 硬 件 的 基本 特 
性 是 使 安全 内 核能 防止 用 户 程序 访问 安全 内 核 代码 和 数据 ,同时 还 必须 防止 用 户 程序 执 
行 安全 内 核 用 于 控制 内 存 管理 机 制 的 特权 指令 。 在 拥有 这 些 必需 的 硬件 特性 的 系统 中 ， 
用 户 程序 几乎 没有 机 会 通过 写 人 安全 内 核 的 存储 器 .执行 特权 指令 或 修改 安全 内 核 软件 
使 安全 内 核 受 到 直接 攻击 。 将 安全 机 制 和 操作 系统 的 其 他 部 分 及 用 户 空间 分 离 ,可 以 很 
容易 地 防止 操作 系统 或 用 户 的 侵入 。 

(2) 完整 性 原则 : 要 求 所 有 信息 的 访问 都 必须 经 过 安全 内 核 , 同 时 对 支持 安全 内 核 
系统 的 硬件 提出 要 求 , 如 果 安 全 内 核 不 检查 每 条 机 器 指令 就 允许 有 效 地 执行 不 可 信 程 
序 ,硬件 就 必须 保证 程序 不 能 绕 过 安全 内 核 的 存 取 控制 。 安 全 内 核 必 须 使 各 个 进程 独 
立 , 并 且 保 证 未 通过 安全 内 核 的 各 个 进程 不 能 相互 联系 。 

(3) 可 验证 性 原则 : 通过 利用 最 新 的 软件 工程 技术 ,注意 安全 内 核 接 口 功 能 的 简单 
性 ,实现 安全 内 核 尽 可 能 地 小 。 支 持 安 全 内 核 的 可 验证 性 的 基本 技术 是 开发 一 个 安全 数 
学 模型 ,其 精确 定义 了 安全 需求 并 形式 化 地 检验 模型 中 的 功能 是 否 符合 定义 。 由 于 内 核 
相对 很 小 ,因此 ,可 以 进行 严格 的 形式 化 证 明 安 全 内 核 的 正确 性 。 


415 操作 系统 的 安全 机 制 


操作 系统 安全 的 主要 目标 是 标识 用 户 身份 及 身份 鉴别 , 按 访问 控制 策略 对 系统 用 户 
的 操作 进行 控制 ,防止 用 户 和 外 来 人 侵 者 非法 存 取 计算 机 资源 ,以 及 监督 系统 运行 的 安 
全 性 和 保证 系统 自身 的 完整 性 等 。 要 完成 这 些 目 标 ,需要 建立 相应 的 安全 机 制 ,包括 硬 
件 安全 机 制 和 软件 安全 机 制 。 硬 件 的 安全 机 制 主要 包括 内 存 管 理 、 运 行 域 保护 和 1/O 管 
理 。 软 件 的 安全 机 制 主要 包括 标识 与 鉴别 机 制 , 访 问 控制 机 制 . 最 小 特权 管理 机 制 、 可 信 
通路 机 制 、 隐 通道 的 分 析 与 处 理 以 及 安全 审计 机 制 等 。 


1. 硬件 系统 的 安全 机 制 


操作 系统 的 最 底层 是 硬件 系统 ,操作 系统 软件 运行 在 硬件 系统 之 上 ,要 保证 操作 系 
统 的 安全 运行 ,必然 要 保证 硬件 层 操作 的 安全 性 。 因 此 ,硬件 层 必须 提供 可 靠 的 、 高 效 的 
硬件 操作 。 硬 件 安 全 机 制 一 般 有 以 下 三 种 基本 的 措施 ,分 别 是 内 存 保护 、 运 行 域 保护 和 
1/O 保护。 

1) 内 存 保护 

内 存 保护 是 操作 系统 中 最 基本 的 安全 要 求 , 它 要 求 确保 存储 器 中 的 数据 能 够 被 合法 
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地 访问 。 保 护 单元 是 存储 器 中 最 小 的 数据 范围 ,可 以 分 为 块 、 段 或 页 等 。 保护 单元 越 小 ， 
存储 保护 的 精度 越 高 。 在 多 任务 的 环境 中 ,应 该 防止 用 户 程 序 访问 操作 系统 内 核 的 存储 
区 域 以 及 进程 间 非 法 访问 对 方 的 存储 区 域 。 内 存 保护 与 内 存 管理 是 紧密 相关 的 ,内 存 保 
护 是 为 了 保证 系统 各 个 进程 间 互 不 干扰 以 及 用 户 进程 不 去 非法 访问 系统 空间 ,而 内 存 管 
理 则 是 为 了 更 有 效 利用 系统 的 资源 (内 存 空 间 )。 系 统 会 区 分 用 户 空 间 和 系统 空间 ,在 用 
户 模式 下 运行 的 非特 权 程 序 应 该 禁止 访问 系统 空间 ,而 在 内 核 模式 下 则 可 以 访问 任何 内 
存 空 间 , 包 括 用 户 空间 。 用 户 模式 和 内 核 模式 的 切换 应 该 通过 一 条 特权 指令 来 完成 ,这 
种 访问 控制 一 般 可 以 由 硬件 来 实现 ,如 Intel 的 CPU 可 以 运行 在 四 个 不 同 的 等 级 下 ,其 
中 0 级 为 特权 级 ,3 级 为 用 户 级 ,在 Linux 的 实现 中 ,0 级 对 应 于 内 核 模式 ,而 3 级 则 对 应 
于 用 户 模 式 , 中 间 两 级 没有 使 用 。 除 了 通过 硬件 的 限制 来 实现 内 存 保护 ,还 可 以 通过 软 
件 实现 对 内 存 的 保护 ,如 基于 描述 符 的 地 址 解释 机 制 , 该 机 制 可 以 解决 段 /页 访问 权限 的 
标识 问题 。 在 这 种 机 制 下 ,系统 会 给 每 一 个 进程 分 配 一 个 私有 的 地 址 描述 符 , 进 程 对 系 
统 中 内 存 段 /页 的 访问 模式 都 在 该 描述 中 进行 了 说 明 ,指出 了 该 进程 对 内 存 段 /页 的 访问 
模式 ,比如 可 以 有 两 种 访问 模式 集 , 一 类 用 于 在 用 户 模式 下 运行 的 进程 ; 另 一 类 用 于 在 内 
核 模式 下 运行 的 进程 。 访 问 模式 包括 读 、 写 .执行 各 占 地 址 描述 符 的 一 位 。 因 为 在 地 址 
解释 的 同时 ,系统 调用 会 检查 地 址 描述 符 , 所 以 ,这 种 机 制 在 运行 模式 切换 和 进程 切换 的 
过 程 中 只 需要 很 少 的 额外 开销 。 比 较 适合 用 于 内 存 管理 的 访问 控制 。 

2) 运行 域 保护 

进程 运行 的 区 域 被 称 为 运行 域 。 一 般 操作 系统 都 会 包含 硬件 层 、 内 核 层 、 应 用 层 、 用 
户 层 等 几 个 层次 ,而 每 个 层次 又 会 包含 子 层 。 这 种 分 层 的 设计 方法 是 为 了 隔离 运行 域 ， 
达到 保护 运行 域 的 目的 。 运 行 域 可 以 看 成 是 一 系列 的 同心 圆 ,最 内 层 的 特权 最 高 ,最 外 
层 的 特权 最 低 , 一 个 进程 的 可 信和 度 和 其 访问 权限 可 以 通过 它 与 中 心 的 接近 程度 来 衡量 ， 
特权 等 级 越 高 则 越 接近 中 心 。 它 是 一 种 分 级 的 环 结构 ,以 最 底层 硬件 层 为 中 心 , 最 后 到 
特权 最 低 的 用 户 层 。 等 级 域 机 制 可 以 保护 内 层 环 不 被 其 他 外 层 环 侵入 。 每 一 个 进程 都 
在 特定 的 环 层 运行 ,特权 越 高 的 进程 在 环 号 越 低 的 层 上 运行 。 环 号 越 低 ,特权 越 高 ,相对 
于 该 层 的 操作 保护 越 少 。 等 级 域 机 制 和 进程 隔离 机 制 是 互 不 影响 的 ,一 个 进程 可 以 在 任 
意 时 刻 任意 环 内 运行 ,在 运行 时 还 可 以 在 各 环 间 转 移 。 当 进程 在 特定 环 运 行 时 ,进程 隔 
离 机 制 将 避免 该 进程 遭受 同 环 内 其 他 进程 的 破坏 ,系统 会 隔离 在 同一 环 内 同时 运行 的 进 
程 。 此 外 ,如 果 某 段 对 于 具有 较 低 特权 的 环 是 可 写 的 ,那么 在 具有 较 高 特权 的 环 中 执行 
它 将 是 危险 的 ,因为 较 低 特权 的 环 可 能 被 写 人 了 对 系统 具有 破坏 作用 的 代码 。 如 果 某 段 
对 于 具有 较 高 特权 的 环 是 可 写 的 ,那么 在 具有 较 低 特权 的 环 中 读 取 该 段 将 会 导致 敏感 数 
据 的 泄露 。 因 而 ,从 安全 的 角度 ,不 应 该 允许 较 低 特权 的 环 中 可 写 的 段 在 较 高 特权 的 环 
中 执行 ,也 不 允许 在 较 高 特权 的 环 中 可 写 的 段 在 较 低 特权 的 环 中 可 读 。 

3) I/O 保护 

在 操作 系统 的 所 有 功能 中 .1/O 部 分 一 般 是 最 复杂 的 。 安 全 的 缺陷 往往 可 以 从 操作 
系统 的 1/O 部 分 找 出 来 ,因此 ,为 保证 安全 性 .I/O 应 该 只 能 由 操作 系统 才 可 以 完成 的 特 
权 操 作 。 对 于 一 般 的 1/O 设备 ,操作 系统 都 会 提供 该 设备 的 系统 调用 。 对 于 网 络 访问 一 
般 也 提供 标准 的 调用 接口 ,用 户 不 需要 操作 1/O 的 细节 。1/O 设备 最 简单 的 访问 控制 方 
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式 是 把 一 个 1/O 设备 看 成 是 一 个 客体 ,所 有 对 1/O 设备 的 操作 ,例如 读 设备 、 写 设备 等 ， 
都 必须 经 过 相应 的 访问 控制 机 制 , 如 操作 系统 内 核 通过 比较 安全 策略 数据 库 来 决定 相应 
主体 对 相应 客体 的 访问 权限 。 在 关键 的 安全 系统 中 ,除了 采用 CPU 的 隔离 保护 机 制 外 ， 
有 时 还 需要 专用 的 硬件 如 智能 卡 等 加 以 进一步 的 保护 。 当 然 ,如果 要 对 系统 提供 足够 的 
安全 强度 ,必须 将 硬件 和 软件 很 好 地 结合 起 来 ,采用 适当 的 安全 机 制 才能 更 好 保护 系统 。 


2. 软件 系统 的 安全 机 制 


有 关 软 件 安全 机 制 方面 ,主要 包括 身份 标识 与 鉴别 机 制 \ 访 问 控制 机 制 . 可 信和 通路 机 
制 . 隐 蔽 通道 机 制 、 安 全 审计 和 病毒 防护 等 机 制 。 

1) 身份 标识 与 鉴别 机 制 

标识 与 鉴别 是 涉及 系统 和 用 户 的 一 个 过 程 。 标 识 是 系统 要 标识 用 户 的 身份 ,并 为 每 
个 用 户 提 供用 户 标识 符 。 将 用 户 标 识 符 与 用 户 联系 的 动作 称 为 鉴别 ,为 了 识别 用 户 的 真 
实 身 份 , 它 总 是 需要 用 户 具有 能 够 证 明 其 身份 的 特殊 信息 。 操 作 系 统 在 开始 执行 操作 
时 ,首先 需要 用 户 标识 自己 的 身份 ,并 提供 证 明 自 己 身份 的 依据 。 身 份 的 标识 与 鉴别 是 
对 访问 者 授权 的 前 题 ,并 通过 审计 机 制 使 系统 保留 追究 用 户 行为 责任 的 能 力 。 一 般 情况 
下 , 它 可 以 是 只 对 主体 进行 鉴别 , 某 些 情况 下 也 可 以 对 客体 进行 鉴别 。 

2) 访问 控制 机 制 

在 计算 机 系统 中 ,安全 机 制 的 主要 内 容 是 访问 控制 机 制 ,其 基本 任务 是 防止 非法 用 
户 进入 系统 及 合法 用 户 对 系统 资源 的 非法 使 用 。 一 般 来 说 , 它 包 括 三 个 任务 : 授权 、 确 定 
存 取 权限 和 实施 存 取 权 限 。 在 安全 操作 系统 领域 中 , 存 取 控 制 一 般 都 涉及 自主 访问 控制 
(discretionary access control,DAC) ,强制 访问 控制 (mandatory access control,MAC) 和 
基于 角色 的 访问 控制 (role-based access control, RBAC) 几 种 形式 。 自 主 访问 控制 是 一 种 
普遍 的 访问 控制 手段 , 它 根 据 用 户 的 身份 及 允许 访问 权限 决定 其 操作 ,文件 的 拥有 者 可 
以 指定 系统 中 的 其 他 用 户 ( 组 ) 对 其 文件 的 访问 权 。 强 制 访问 控制 是 指 用 户 与 文件 都 有 
一 个 固定 的 安全 属性 ,系统 用 此 属性 来 决定 一 个 用 户 是 否 可 以 访问 某 个 文件 。 这 个 属性 
是 强制 性 的 规定 ,由 安全 管理 员 或 操作 系统 根据 安全 策略 来 确定 ,用 户 ( 组 ) 或 用 户 程序 
不 能 修改 安全 属性 。 另 外 ,基于 角色 的 访问 控制 是 近年 来 研究 的 热点 和 重点 ,其 基本 思 
想 是 根据 组 织 内 不 同 职能 岗位 划分 角色 ,访问 许可 映射 在 角色 上 ,用 户 被 分 配角 色 来 间 
接 访 问 资源 ,用 户 与 角色 以 及 操作 许可 与 角色 是 多 对 多 关系 , 它 解 决 了 具有 大 量 用 户 、 数 
据 和 访问 权限 的 系统 中 授权 管理 问题 。 

3) 最 小 特权 管理 机 制 

最 小 特权 指 将 超级 用 户 的 特权 划分 为 一 组 细 粒 度 的 特权 ,分 别 给 予 不 同 的 系统 操作 
员 / 管 理 员 ,使 各 种 系统 操作 员 / 管 理 员 只 具有 完成 其 任务 所 需 的 特权 ,从 而 减少 由 于 特 
权 用 户 密码 丢失 或 错误 软件 、 恶 意 软 件 以 及 误 操 作 所 引起 的 损失 。 最 小 特权 原则 是 系统 
安全 中 最 基本 的 原则 之 一 , 它 限 定 每 个 主体 所 必需 的 最 小 特权 ,使 用 户 所 得 到 的 特权 仅 
能 完成 当前 任务 。 最 小 特权 一 方面 给 予 主体 * 必 不 可 少 ” 的 特权 ,保证 了 所 有 的 主体 能 在 
所 赋予 的 权限 下 完成 所 需要 完成 的 操作 或 任务 ; 另 一 方面 又 只 给 主体 “ 必 不 可 少 ” 的 特 
权 , 从 而 限制 了 每 个 主体 所 能 进行 的 操作 。 最 少 特权 在 安全 操作 系统 中 占据 了 非常 重要 
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的 地 位 ,依据 最 小 特权 原则 对 系统 管理 员 的 权力 进行 细 化 .每 个 管理 员 只 能 拥有 刚好 能 
完成 工作 的 权限 。 然 后 根据 系统 管理 策略 设 定 角 色 , 使 每 个 角色 各 负 其 责 ,权限 各 自分 
立 。 常 见 的 最 小 特权 管理 机 制 有 基于 文件 的 特权 机 制 、 基 于 进程 的 特权 机 制 等。 

4) 可 信和 通路 机 制 

在 计算 机 系统 中 ,用 户 是 通过 不 可 信和 的 中 间 应 用 层 和 操作 系统 相互 作用 的 ,操作 系 
统 必须 保证 用 户 在 与 安全 核心 通信 时 不 会 被 特洛伊 木马 截获 通信 信息 ,提供 一 条 可 信 通 
路 。 该 机 制 只 能 由 有 关 终 端 人 员 或 可 信 计 算 机 启动 ,并 且 不 能 被 不 可 信 软 件 模仿 。 其 主 
要 应 用 在 用 户 登 录 或 注册 时 ,能够 保证 用 户 确 实 是 和 安全 核心 通信 ,防止 不 可 信 进 程 窃 
取 密 码 。 可 信 通 路 机 制 一 般 以 安全 注意 键 (secure attention key,SAK) 为 基础 来 实现 的 。 
当 系统 识 别 到 用 户 在 一 个 终端 上 输入 的 SAK 时 , 便 终 止 对 应 到 该 终端 的 所 有 用 户 进程 ， 
启动 可 信 的 会 话 过 程 ,以 保证 用 户 名 和 密码 不 被 盗 走 。 

5) 隐蔽 通道 机 制 

隐蔽 通道 是 指 系 统 中 利用 那些 本 来 不 是 用 于 通信 的 系统 资源 绕 过 强制 存 取 控 制 进 
行 非法 通信 的 一 种 机 制 。 系 统 内 充满 着 隐蔽 通道 ,系统 中 的 每 一 个 信息 ,如 果 它 能 由 一 
个 进程 修改 而 由 另 一 个 进程 读 取 , 则 它 就 是 一 个 潜在 的 隐蔽 通道 。 隐 蔽 通道 具有 容量 和 
带宽 两 个 基本 参数 ,容量 是 指 通道 一 次 所 能 传递 的 信息 量 , 带 宽 是 指 信 息 通 过 通道 传递 
的 速度 。 由 于 安全 模型 缺陷 而 导致 的 信息 泄露 可 以 通过 改变 安全 模型 来 修补 ,而 隐蔽 通 
道 所 导致 的 信息 泄露 可 以 在 不 改变 安全 模型 的 情况 下 消除 或 减少 。 由 于 隐蔽 通道 是 多 
许 进 程 以 危害 系统 安全 策略 的 方式 传输 信息 的 通信 信道 ,而 且 出 现 隐蔽 通道 的 可 能 性 很 
大 ,因此 ,操作 系统 设计 时 要 进行 隐蔽 信道 详细 分 析 测 试 , 采 取 相 应 的 措施 在 一 定 程度 内 
清除 或 限制 隐蔽 通道 。 

6) 安全 审计 机 制 

安全 审计 是 指 对 操作 系统 中 有 关 安 全 的 活动 进行 记录 ,检查 及 审核 , 它 作 为 一 种 事 
后 追查 的 手段 保证 系统 的 安全 性 。 其 主要 目的 就 是 检测 和 阻止 非法 用 户 对 计算 机 系统 
的 入 侵 , 并 显示 合法 用 户 的 误 操作 。 安 全 审计 作为 安全 系统 的 重要 组 成 部 分 ,在 TCSEC 
中 要 求 C2 级 以 上 的 安全 操作 系统 必须 包含 。 审 计 为 系统 进行 事故 原因 的 查询 、 定 位 , 事 
故 的 预测 .报警 以 及 事故 发 生 之 后 的 实时 处 理 提 供 详细 .可靠 的 依据 和 支持 。 一 般 而 言 ， 
审计 过 程 是 一 个 独立 的 过 程 , 它 应 与 系统 的 其 他 功能 隔 开 。 操 作 系 统 必须 能 够 生成 、 维 
护 及 保护 审计 过 程 ,防止 其 被 修改 .访问 和 毁坏 。 特 别 是 要 保护 好 审计 数据 ,严格 限制 未 
授权 的 用 户 访问 。 如 果 审 计 系统 自身 的 安全 被 突破 ,审计 数据 的 可 靠 性 就 没有 保证 ,就 
不 能 提供 准确 的 事后 分 析 和 追踪 ,也 就 无 法 估计 安全 事故 对 系统 造成 的 影响 。 

7) 病毒 防护 机 制 

操作 系统 作为 一 个 大 型 的 软件 代码 集 , 不 可 避免 地 会 受到 病毒 的 入 侵 ,病毒 会 用 它 
自己 的 程序 加 入 操作 系统 或 者 取代 部 分 操作 系统 进行 工作 ,从 而 导致 整个 系统 瘫痪 。 由 
于 操作 系统 感染 了 病毒 ,病毒 在 运行 时 会 用 自己 的 程序 片段 取代 操作 系统 的 合法 程序 模 
块 。 根 据 病毒 自身 的 特点 和 被 替代 的 操作 系统 中 合法 程序 模块 在 操作 系统 中 运行 的 地 
位 与 作用 ,以 及 病毒 取代 操作 系统 的 取代 方式 等 ,对 操作 系统 进行 破坏 。 一 般 来 说 ,完全 
防止 计算 机 病毒 是 非常 困难 的 ,但 是 通过 安全 操作 系统 的 强制 存 取 控制 机 制 可 以 起 到 一 
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定 的 保护 作用 。 当 然 也 可 以 采用 一 些 第 三 方 的 工具 软件 来 加 固 操作 系统 的 安全 。 

上 面 讲述 了 有 关 操 作 系 统 安全 的 一 些 概念 与 机 制 , 下 面 将 通过 介绍 目前 网 络 中 常用 
的 两 类 操作 系统 做 一 些 具 体 的 说 明 , 指 导管 理 员 对 操作 系统 进行 有 效 的 管理 ,管理 好 操 
作 系 统 是 提供 网 络 系统 安全 性 的 核心 任务 之 一 。 


42 Unux 操 作 系 统 的 安全 


Linux 是 一 个 开放 源 代码 的 操作 系统 ,由 芬兰 赫尔辛基 大 学 的 学 生 Linus Torvalds 
在 1991 年 首先 开发 。 世 界 各 地 的 编程 爱好 者 自发 组 织 起 来 对 Linux 进行 改进 和 编写 了 
各 种 应 用 程序 ,Linux 已 发 展 成 一 个 功能 强大 的 操作 系统 ,可 以 自由 地 发 行 和 复制 。 用 户 
可 以 根据 需要 ,修改 其 源 代码 ,向 系统 添加 新 部 件 、 发 现 缺 陷 和 提供 补丁 ,以 及 检查 源 代 
码 中 的 安全 漏洞 。Linux 具有 很 多 解决 机 密 性 .完整 性 .可 用 性 以 及 系统 安全 本 身 问 题 的 
集成 部 件 。 包 括 有 IP 防御 、 认 证 机 制 、 系统 日 志和 审计 、 加 密 协议 和 API、VPN 内 核 支持 
等 。 此 外 ,系统 安全 可 以 由 软件 应 用 程序 来 支持 ,这 些 开放 源 代码 的 应 用 程序 提供 安全 
服务 、 加 固 和 (或 ) 控 制 Linux 系统 、 防 止 并 检测 入 侵 、 检 查 系统 和 数据 的 完整 性 ,并 提供 
防止 不 同 攻击 的 屏障 。 

Linux 与 不 开放 源 代码 的 操作 系统 之 间 的 区 别 在 于 开放 源 代 码 开发 过 程 本 身 。 由 于 
软件 的 每 个 用 户 和 开发 者 都 可 以 访问 其 源 代码 ,因而 有 很 多 人 都 在 控制 和 审视 源 代码 中 
可 能 的 安全 漏洞 ,软件 缺陷 很 快 会 被 发 现 。 一 方面 ,这 会 导致 这 些 缺 陷 更 早 被 利用 ; 另 一 
方面 ,很 快 就 会 有 可 用 的 安全 补丁 。 如 此 反复 ,使 得 Linux 系统 在 安全 上 表现 得 相当 优 
异 。 也 正 因为 这 个 原因 ,对 于 Linux 操作 系统 的 管理 员 而 言 ,要 求 更 高 。 如 何以 一 种 安 
全 的 方法 来 计划 设计 安装、 配置 和 维护 运行 Linux 的 系统 ,是 每 个 系统 管理 员 需 要 认 
真 考虑 的 问题 。 下 面 将 详细 论述 Linux 系统 的 安装 配置 问题 ,潜在 的 威胁 以 及 如 何 保护 
和 加 固 Linux 操作 系统 。 


421 Linx 系 统 安装 涉及 的 安全 问题 


Linux 系统 本 身 是 稳定 和 安全 的 ,其 系统 安全 与 否 和 系统 管理 员 有 很 大 的 关系 。 安 
装 越 多 的 服务 , 越 容易 导致 系统 的 安全 漏洞 。 在 构建 Linux 操作 系统 时 ,由 于 默认 的 配 
置 文件 并 不 是 按照 安全 最 大 化 的 原则 来 定义 的 。 因 此 ,在 网 络 上 利用 其 构建 应 用 平台 
时 ,在 安装 时 就 必须 对 其 各 种 配置 文件 加 以 了 解 ,熟悉 其 配置 方法 ,内 容 与 特点 。 

在 安装 Linux 系统 前 ,首先 需要 系统 管理 员 制 订 一 个 详细 的 安全 配置 计划 ,来 确定 
系统 将 要 提供 什么 服务 ,需要 使 用 什么 硬件 平台 ,需要 什么 应 用 软件 ,如 何 组 织 安装 。 如 
果 在 实际 安装 前 认真 地 制订 这 样 一 个 计划 ,在 安装 的 初期 就 可 以 确定 并 排除 很 多 可 能 的 
安全 问题 。 有 助 于 减少 系统 入 侵 或 者 突 发 事件 (如 断 电 ) 造 成 系统 危害 的 风险 。 而 且 , 它 
为 发 生 攻击 或 者 发 布 软件 漏洞 和 补丁 时 进行 快速 修补 系统 提供 了 一 个 坚实 的 基础 。 安 
全 配置 是 一 项 比较 有 难度 的 网 络 技术 ,权限 配置 得 太 严 格 ,好 多 程序 又 运行 不 起 ,权限 配 
置 得 太 松散 ,又 很 容易 被 黑客 人 侵 , 所 以 需要 在 系统 的 安全 性 与 可 用 性 之 间 找 到 一 个 平 
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衡 。 如 果 系 统 由 于 复杂 的 设置 以 及 缺乏 可 用 性 而 无 法 使 用 ,那么 最 完善 的 安全 特性 也 没 
有 意义 。 此 外 ,一 些 极度 复杂 的 、 极 其 耗费 处 理 能 力 的 加 密 算 法 会 耗费 大 量 系统 资源 ,而 
真正 需要 的 任务 却 无 法 正常 运行 使 用 。 所 以 在 安装 系统 前 ,需要 均衡 各 方面 因素 ,制订 
好 安装 配置 计划 。 


1. 确定 系统 提供 的 服务 和 需要 的 软件 


Linux 系统 一 般 在 网 络 上 作为 服务 器 对 外 提供 各 种 网 络 服务 ,首先 我 们 需要 确认 系 
统 要 提供 哪些 网 络 服务 ,以 及 提供 这 些 服务 的 相对 应 的 软件 程序 。 如 Web、DNS、 电 子 邮 
件 .数据库 等 ,以 及 包括 提供 这 些 服务 所 需要 的 相对 应 的 软件 Apache、 Bind、Sendmail、 
Mysql 等 程序 包 。 这 些 应 用 需求 应 该 记录 在 安装 部 署 规划 之 中 ,这 个 计划 还 包括 此 计算 
机 是 配置 为 客户 机 、 服 务 器 还 是 同时 具备 两 个 角色 。 由 于 操作 系统 上 提供 的 服务 越 多 ， 
系统 的 安全 漏洞 就 越 多 ,系统 管理 员 应 该 遵循 安全 原则 ,在 安装 系统 时 ,根据 需求 安装 一 
个 只 包含 必需 软件 的 最 小 化 的 操作 系统 ,然后 根据 具体 的 应 用 需要 再 安装 相应 的 软件 ， 
这 样 可 以 大 大 减 小 某 个 服务 程序 出 现 安全 隐患 的 可 能 性 ,使 安装 好 的 Linux 系统 带 有 隐 
藏 安全 漏洞 的 可 能 性 降 到 最 低 。 在 可 能 的 情况 下 ,最 好 每 台 服 务 器 专门 提供 一 种 单一 的 
服务 ,这 样 就 会 大 大 降低 发 生 配置 错误 的 可 能 性 。 


2. 规划 用 户 种 类 和 访问 权限 


对 于 网 络 服务 器 而 言 ,规划 并 确定 用 户 种 类 及 其 权限 通常 非常 复杂 。 一 般 是 根据 用 
户 的 角色 来 分 配 权限 ,实现 管理 用 户 的 权限 分 离 ,授予 管理 用 户 所 需 的 最 小 权限 的 服务 ， 
提供 严格 限制 默认 用 户 的 访问 权限 , 重 命名 系统 默认 用 户 , 修 改 这 些 用 户 的 默认 密码 的 
服务 ,并 禁止 默认 用 户 的 访问 等 ;对 于 已 经 确认 好 的 用 户 角色 ,定义 他 们 需要 访问 和 操作 
(例如 , 读 、 创 建 、 修 改 或 删除 数据 ) 哪 些 数据 资源 。 管 理 员 可 以 通过 访问 相应 的 服务 或 操 
作 系 统 提 供 的 工具 来 进行 相应 的 配置 。 


3. 选择 Linux 发 行 版 本 


由 于 Linux 只 是 一 个 内 核 , 只 能 提供 基本 的 运行 服务 。 一 个 完整 的 操作 系统 还 包括 
大 量 的 应 用 程序 及 开发 工具 等 ,因此 ,有 许多 个 人 、 组 织 和 企业 开发 了 基于 GNU/Linux 
的 Linux 发 行 版 。Linux 的 发 行 版 本 大 体 上 可 以 分 为 两 类 ,一 类 是 商业 公司 维护 的 发 行 
版 本 ,一 类 是 社区 组 织 维护 的 发 行 版 本 ;前 者 以 著名 的 Redhat(RHEL) 为 代表 ,后 者 以 
Debian 为 代表 。 选 择 哪 一 类 的 Linux 系统 需要 管理 员 进行 仔细 的 考虑 。 在 很 多 情况 下 ， 
由 于 企业 的 政策 ,企业 许可 证 协议 或 者 可 用 的 技术 ,要 使 用 的 Linux 发 行 版 本 已 经 确定 。 
而 有 的 时 候 , 用 户 会 先 关注 可 以 满足 安装 用 途 的 软件 程序 包 , 然 后 根据 程序 包 的 先决 条 
件 、 哪 个 发 行 版 本 包含 立即 可 用 的 程序 包 . 或 者 发 行 版 本 的 价格 ,来 选择 发 行 版 本 。 在 具 
体 的 应 用 过 程 中 ,通常 这 两 者 是 结合 在 一 起 的 ,用 户 必 须 反复 缩小 选择 范围 ,从 而 选取 能 
满足 需求 的 发 行 版 本 。 对 于 每 一 种 应 用 服务 ,如 邮件 服务 器 、 文 件 服务 器 、Web 服务 器 、 
字 处 理 等 ,都 有 多 种 软件 程序 包 可 以 满足 需要 。 尤 其 当 用 户 不 直接 与 软件 程序 包 打 交道 
时 (如 由 专门 团队 管理 的 服务 器 软件 ) ,那么 选择 更 为 安全 的 软件 程序 包 时 所 受 的 限制 就 
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会 更 少 。 如 果 要 对 整个 发 行 版 本 进行 安全 评估 ,还 需要 搜索 相关 的 安全 问题 邮件 列表 。 
开放 源 代码 软件 的 优势 之 一 就 是 能 在 源 代码 层次 上 对 任何 软件 程序 包 进 行 审计 ,但 事实 
上 这 很 难 做 到 。 但 是 系统 管理 员 可 以 做 以 下 一 些 工作 ,将 运行 服务 记 入 日 志 系 统 ,从 而 
部 分 实现 审计 功能 。 

(1) 启用 xinetd 来 替代 inetd: 这 可 以 防止 拒绝 服务 (denial-of-service) 攻 击 , 让 管理 
员 指 定 哪个 服务 可 以 提供 给 谁 ,并 将 服务 调用 日 志 记 录 到 一 个 集中 的 位 置 。 

(2) 使 用 TCP 包装 器 : 它 可 以 将 服务 限制 在 特定 范围 的 请 求 地 址 内 ,并 将 请 求 记录 
到 日 志 , 其 配置 可 以 通过 hosts. allow 以 及 hosts. deny 文件 来 实现 。 

(3) 使 用 chroot 创建 安全 环境 : 这 个 环境 是 实际 安装 的 一 个 子 集 。 它 是 内 核 中 的 一 
个 系统 调用 ,软件 可 以 通过 调用 库 函 数 ,来 更 改 某 个 进程 所 能 见 到 的 根 目 录 , 即 使 服务 受 
到 攻击 ,被 影响 的 也 只 是 这 个 子 集 环 境 。 由 于 它 基 于 目录 树 的 隐藏 部 分 ,所 以 , 它 最 适用 
于 那些 操作 在 可 以 方便 地 包括 到 那个 树 中 的 小 的 而 且 独 立 的 文件 集 上 的 服务 器 。 


4. 选择 服务 器 软件 程序 包 


为 了 方便 用 户 的 安装 ,发 行 版 本 通常 会 默认 安装 一 些 保持 系统 运行 和 满足 其 用 途 所 
不 必要 的 软件 程序 包 , 比 如 在 运行 没有 用 户 交互 的 系统 中 ,图 形 用 户 界面 .多 媒体 软件 和 
游戏 都 属于 这 种 不 必要 的 软件 。 而 任何 安装 到 机 器 上 的 软件 都 必然 会 占用 资源 并 降低 
机 器 的 安全 性 ,引入 可 能 被 利用 的 潜在 的 bug, 这 会 导致 外 部 攻击 者 利用 不 必要 的 服务 
在 服务 器 上 执行 代码 ,比如 通过 缓存 溢出 破坏 系统 。 可 以 减少 由 于 安装 的 软件 错误 地 配 
置 而 引起 的 安全 漏洞 。 即 使 所 安装 的 软件 不 是 一 直 在 运行 ,也 没有 暴露 在 网 络 上 ,它们 
也 会 增加 管理 员 的 负担 。 此 外 ,有 人 会 利用 社会 工程 技巧 来 欺骗 合法 用 户 ( 或 管理 员 ) 去 
运行 最 终 影响 安全 的 程序 ,这 就 是 要 尽 可 能 少 地 安装 程序 的 另 一 个 原因 。 所 以 ,系统 管 
理 员 在 安装 Linux 操作 系统 时 ,尽量 不 要 使 用 默认 安装 ,而 应 当 采 用 选择 性 安装 。 当 然 ， 
在 安装 系统 时 ,为 了 增加 系统 的 安全 性 ,管理 员 也 需要 考虑 额外 安装 一 些 用 来 增强 安全 
性 的 程序 包 , 这 些 程序 包 有 的 可 以 在 用 户 安 装 系统 时 选择 性 安装 ,也 可 以 安装 完毕 后 通 
过 手工 进行 补充 安装 。 

(1) 磁盘 配额 : 为 避免 本 地 拒绝 服务 攻击 ,管理 员 可 以 使 用 配额 功能 来 限制 用 户 ( 包 
括 httpd 或 ftpd 等 后 台 进 程 的 用 户 ) 可 用 的 资源 。 

(2) 防火 墙 : 防火 墙 通常 会 根据 定义 的 规则 集合 管理 网 络 通信 ,决定 数据 包 是 否 可 
以 通过 。 其 基本 功能 是 通过 阻塞 不 必要 的 传输 来 避免 网 络 入 侵 。 

(3) 入 侵 检测 : 入侵 检测 系统 的 主要 任务 是 通过 识别 到 来 的 病毒 .恶意 软件 或 者 特 
洛 伊 木马 等 安全 缺口 ,检测 进入 网 络 或 者 计算 机 的 攻击 或 人 侵 。 

(4) 审计 : 审计 是 通过 建立 数据 处 于 其 期 望 状态 的 基线 来 检测 敏感 数据 或 配置 文件 
的 改变 。 当 发 生意 外 改变 时 ,对 基线 的 改变 会 被 报告 ,使 得 管理 员 可 以 快速 反应 并 进行 
恢复 。 


5. 选用 安全 的 工具 程序 版 本 
由 于 网 络 应 用 的 迅速 发 展 和 成 长 ,有 些 传统 的 应 用 程序 在 安全 性 上 变 得 很 脆弱 ,已 
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经 不 适 于 当前 的 应 用 。 因 此 ,人 们 开发 了 新 的 应 用 程序 来 蔡 代 ,这 些 蔡 代 的 程序 可 以 以 
安全 的 方式 执行 相同 的 任务 。“ 安 全 的 方式 ”是 指 对 传输 的 数据 (包括 用 户 密码 和 其 他 用 
户 相 关 数 据 ) 进 行 加 密 , 以 防止 第 三 方 可 以 窃听 传输 的 信息 。 使 用 用 户 名 和 密码 或 者 数 
字 签 名 等 技术 来 识别 用 户 和 系统 。 尽 管 这 些 替 代 者 通常 被 称 为 “安全 的 标准 的 应 用 程 
序 ”, 但 这 并 不 是 说 明 它们 绝对 不 会 受 攻击 。 仅 表示 这 些 程序 是 用 户 经 过 深入 考虑 使 用 
了 , 它 是 安全 的 版 本 而 不 是 不 安全 的 版 本 ,用 户 不 能 因为 使 用 了 这 些 蔡 代 程 序 就 放松 安 
全 警惕 , 仍 需 要 树立 安全 意识 和 采取 必要 步骤 来 保护 系统 。 表 4-1 列 出 了 常见 任务 的 应 
用 程序 及 其 替代 产品 。 


表 4-1 常见 工具 的 安全 替代 


任务 /使 用 情形 传统 应 用 程序 推荐 的 安全 替代 者 
4 4 Telnet 
远程 访问 命令 行 rsh( 远 程 SHELL) ssh( 安 全 SHELL) 

X Window 基于 ssh 的 X Window 
图 形 方式 访问 远程 系统 和 基于 ssh 的 VNC 
VNC 
rdesktop 
ftp 本 5 es 

文件 传输 rcp( 远 程 复制 ) sftp scp( 安 全 复制 ) 
镜像 /备份 rsynce 基于 ssh 的 隧道 rsync 


6. 规划 系统 硬盘 分 区 


当选 择 完 应 用 程序 以 及 安装 所 使 用 的 软件 包 后 ,下 一 步 就 是 要 考虑 操作 系统 与 应 用 
程序 正常 运行 所 需要 的 环境 ,如 果 不 考虑 运行 的 环境 或 考虑 太 少 ,会 引起 不 良 后 果 , 简 单 
的 会 使 系统 无 法 正常 安装 ,或 者 安装 后 不 能 正常 运行 ,如 果 安 装 不 当 , 还 会 引起 系统 安全 
性 下 降 , 特 别 要 防止 那 种 试图 填 满 可 用 磁盘 空间 的 DoS 攻击 带 来 的 危害 ,用 户 需要 确保 
至 少 为 下 面 这 些 目 录 划 出 专门 的 分 区 : 

/home: 此 分 区 包含 用 户 数据 , 划 出 此 分 区 的 目的 是 使 用 户 数 据 与 系统 无 关 。 当 执 
行 备份 和 恢复 操作 、 升 级 或 切换 操作 系统 ,或 者 在 系统 中 迁移 用 户 时 ,这 个 独立 分 区 就 显 
得 非常 有 用 了 。 

/var: 主要 保存 服务 器 的 日 志和 和 运行 时 数据 。 通 过 将 其 安放 于 一 个 单独 的 文件 系 
统 , 如 果 系 统 成 为 某 个 DoS 攻击 的 目标 ,这 样 数据 就 不 会 填 满 系统 全 部 的 空闲 空间 。 

/tmp: 类 似 于 /var, 这 个 目录 对 用 户 进程 来 说 是 可 写 的 ,使 得 它 成 为 DoS 攻击 的 一 
个 目标 。 比 使 用 单独 的 文件 系统 更 好 的 办 法 是 使 用 tmpfs. 它 加 速 了 文件 的 访问 速度 ,并 
在 重新 引导 时 自动 清空 文件 系统 的 内 容 。 

/boot: 存放 有 Linux 内 核 .初始 驱动 程序 以 及 引导 加 载 器 数据 。 不 必 为 了 引导 过 程 
而 挂 载 这 个 分 区 ,因为 引导 加 载 器 会 将 内 核 加 载 为 一 系列 扇 区 ,以 从 硬盘 读 取 数 据 。 如 
果 在 正常 的 操作 中 没有 挂 载 它 ,那么 就 不 会 意外 地 覆盖 这 些 文件 。 
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7. 校 验 软 件 版 本 


Linux 发 行 版 本 众多 ,人 们 获取 的 途径 各 有 不 同 , 可 以 来 自 于 CD/DVD 发 行 版 本 、 从 
其 他 人 那里 复制 网络 下 载 等 。 如 果 用 户 得 到 的 操作 系统 在 安装 的 时 候 就 已 经 被 破坏 或 
已 包含 非法 代码 ,那么 前 面 所 讨论 的 系统 安全 根本 毫 无 意义 ,对 于 用 户 而 言 , 这 个 操作 系 
统 也 是 毫 无 价值 的 。 所 以 必须 确保 得 到 的 操作 系统 是 基于 “干净 ?的 来 源 进 行 安装 ,确认 
代码 没有 后 门 。 一 般 可 根据 发 行者 公布 的 校 验 和 来 校 验 安 装 介质 的 校 验 和 以 确定 介质 
是 否 为 正品 ,通过 校 验 MD5 校 验 和 ,使 用 以 下 命令 来 分 别 判别 ISO 映像 或 者 CD, 来 保证 
你 得 到 的 是 一 个 “干净 ”的 系统 。 

[root® test $ md5sum /path/to/iso/image.iso 
或 


[root® test | $ md5sum /dev/odrom 


计算 出 的 校 验 和 必须 与 发 行者 公开 的 相 匹 配 。 如 果 通 过 Web 得 到 发 布 的 校 验 和 ， 
那么 要 确保 使 用 https 协议 ,并 查看 连接 中 使 用 的 证 书 是 否 合法 ,以 确保 校 验 和 的 发 布 者 
是 真实 的 。 此 外 ,刚刚 安装 的 操作 系统 如 果 接 入 网 络 内 提供 服务 ,会 产生 大 量 的 安全 问 
题 , 因 为 我 们 得 到 的 系统 一 般 情 况 下 都 不 是 最 新 的 版 本 ,由 于 Linux 系统 的 开放 性 ,随时 
会 有 一 些 新 的 漏洞 发 现 ,而 发 行者 会 及 时 将 这 些 安全 补丁 发 布 ,而 我 们 得 到 的 系统 可 能 
没有 安装 最 新 安全 补丁 ,此 时 最 容易 受到 攻击 。 因 此 ,在 从 安装 过 程 直到 完成 配置 步 又 
期 间 ,应 该 从 Internet 上 隔离 出 来 ,或 者 至 少 是 在 一 个 安全 的 网 段 。 安 装 后 ,及 时 从 相关 
网 站 上 下 载 最 新 的 安全 补丁 和 更 新 ,以 便 及 时 修补 这 些 安全 隐患 。 


422 Linx 服 务 裁减 


关闭 操作 系统 中 不 必要 的 服务 是 减少 漏洞 .保证 服务 器 安全 最 有 效 也 是 最 方便 的 方 
法 。 在 安装 完 操作 系统 后 ,最 好 进行 服务 裁减 操作 。 


1. 减少 inetd 的 能 力 


把 /etc/inetd. sconf 中 的 大 部 分 服务 都 注释 掉 , 仅 仅 保留 所 需要 的 部 分 服务 。 在 该 配 
置 文件 中 没有 不 可 以 注释 的 部 分 , 即 所 有 服务 都 可 以 被 注释 掉 。 在 一 般 情况 下 可 以 保留 
Telnet、FTP 以 及 其 他 该 服务 器 所 提供 的 特殊 服务 ,如 DNS 服务 器 的 named 等 。 

注释 方法 是 在 不 使 用 的 服务 前 加 “#”, 然 后 reboot 系统 。Linux 各 版 本 内 核 注 释 方 
法 基本 相同 。 需 要 注意 : Linux 自身 携带 的 FTPd 在 许多 版 本 中 有 安全 漏洞 。 

inetd. conf 文件 解释 如 下 : 


echo stream tap nowait root intemal 
echo dgram udp wait root intemal 
discard stream top nowait root intemal 
discard dgram udp wait root internal 
Gaytime stream tap nowait root intemal 
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Gaytime dgram udp wait root intemal 
Chargen stream . tap nowait root intemal 
Chargen dgram udp wait root intemal 


上 述 这 些 服务 都 是 测试 的 时 候 使 用 ,一 般 均 可 以 被 注释 。 


time stream tap nowait root intemal 
time Ggram . udp wait root internal 


用 作 时 钟 同步 ,一 般 可 以 被 注释 。 

ftp stream tcp nowait root /usr/sbin/tapd in.ftpd -1-a 

实现 文件 传输 协议 的 服务 器 程序 ,一 般 保留 ,除非 服务 器 不 提供 FTP 服务 。 
telnet stream tap nowait root /usr/sbin/tapd in.telnetd 

实现 Telnet 协议 的 服务 器 程序 ,一 般 保留 ,除非 服务 器 不 提供 远程 登录 服务 。 
shel1 stream tap nowait root /usr/sbin/tapd in.rshd 

远程 SHELL 服务 ,一般 可 以 被 注释 (远程 登录 服务 ,上 一 项 Telnet 即 可 以 实现 )。 
login stream tap nowait root /usr/sbin/tapd in.rlogind 

远程 注册 服务 ,一 般 保 留 ,除非 服务 器 不 提供 远程 登录 服务 。 

exec stream tap nowait root /usr/sbin/tapd in.rexecd 

远程 执行 服务 ,一般 保留 ,除非 服务 器 不 提供 远程 登录 服务 。 

comsat dgram udp wait root /usr/sbin/tapd in.comsat 

监听 邮件 到 来 ,提醒 用 户 收 邮件 的 服务 ,一般 可 以 被 注释 。 


Talk dgram tcp wait root /usr/sbin/tapd in.talkd 
ntalk dgram udp wait root /usr/sbin/tapd in.ntalkd 
dtalk stream tap wait ncbody /usr/sbin/tapd in.dtalkd 


提供 talk 服务 ,一般 可 以 被 注释 。 

Pop- 3 stream tap nowait root /usr/sbin/tapd ipop3d 

一 般 可 以 被 注释 ,除非 系统 作为 E-mail 服务 器 ,务必 及 时 更 新 POP3 的 版 本 。 
imap stream tap nowait root /usr/sbin/tapd imapd 

实现 互联 网 消息 访问 协议 ,一 般 可 以 被 注释 。 

Ubgp stream tap nowait Uncp /usr/sbin/tapd /usr/lib/uagp/uncico - 1 

实现 UNIX 到 UNIX 的 文件 复制 ,已 经 被 FTP 所 代替 ,一般 可 以 被 注释 。 
tftp dgram udp wait root /usr/sbin/tapd in.tfbpd 

实现 内 部 文件 传输 服务 ,一 般 可 以 被 注释 。 
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finger stream tap nowait Toot /usr/sbin/tapd in.fingerd 
cfinger stream tap nowait root /usr/sbin/tapd in.cfingerd 


提供 显示 本 地 和 远程 用 户 的 服务 ,一般 可 以 被 注释 。 
systat stream tap nowait guest /usr/sbin/tapd /bin/ps - auwwx 

向 远 端 显 示 本 地 运行 的 进程 ,一 般 可 以 被 注释 。 

netstat stream tap nowait guest /usr/sbin/tapd /bin/netstat - £ inet 
向 远 端 显示 本 地 网 络 状 态 ,一 般 可 以 被 注释 。 

swat stream tap nowait.400 root /usr/sbin/swat swat 


Samba Web 管理 工具 ,一 般 可 以 被 注释 。 
2. 简单 的 裁减 方法 


在 redhad 操作 系统 中 可 以 在 控制 台 上 用 超级 用 户 (root) 直接 使 用 命令 linuxconf, 进 
入 图 形 化 的 操作 界面 。 选 择 Control(Control Panel)-Control service activity, 仅 保留 以 
下 服务 inet、keytable、dudzu, linuxconf ( 即 该 配置 界面 )、network、syslog。 此 外 ,部 分 
Linux 也 可 以 在 控制 台 上 使 用 setup 命令 进行 配置 。 如 果 可 以 使 用 setup, 则 建议 关闭 
linuxconf 服务 。 


423 Linx 用 户 与 文件 的 安全 管理 


对 于 一 个 多 用 户 的 操作 系统 而 言 ,用 户 ( 组 ) 的 管理 能 力 对 于 系统 整个 的 安全 性 是 极 
其 重要 的 。 用 户 管理 一 般 涉及 用 户 的 增加 /删除 、 移 走 、root 用 户 的 管理 .用 户 密码 的 管 
理 , 特 殊 的 账号 管理 等 几 个 方面 。 


1. 用 户 ( 组 ) 管 理 


1) 增加 用 户 

在 添加 用 户 过 程 中 ,主要 涉及 以 下 一 些 关键 任务 。 

(1) 添加 用 户 名 。 

系统 将 用 户 名 保存 在 /etc/passwd 文件 中 ,由 于 此 文件 保存 有 系统 上 所 有 用 户 的 列 
表 , 因 此 ,需要 对 这 个 文件 进行 处 理 。 管 理 员 在 进行 安全 配置 时 ,在 每 次 添加 新 用 户 后 ， 
最 好 复制 一 份 文件 ,并 将 其 保存 在 安全 的 地 方 。 定 期 比较 这 两 个 文件 的 内 容 , 一 旦 发 现 
文件 发 生 了 变化 ,而 这 种 变化 是 管理 员 所 不 知 的 , 则 本 系统 就 有 可 能 受到 不 法 分 子 的 入 
侵 , 被 设置 了 后 门 。 

(2) 分 配 用 户 ID。 

每 个 用 户 都 被 系统 授予 一 个 适当 的 用 户 ID(UID)。UID 在 系统 上 必须 是 唯一 的 。 
一 般 情况 下 ,UID 使 用 大 于 100。 在 设 定 时 ,由 于 root 的 UID 为 0, 所 以 ,绝对 不 能 将 其 
他 用 户 的 UID 设 为 0。Linux 操作 系统 使 用 UID 来 识别 系统 中 的 文件 所 有 者 ,所 以 , 尽 
量 使 用 系统 自动 分 配 的 UID, 以 避免 UID 的 重复 使 用 。 
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(3) 分 配 组 ID。 

每 个 用 户 属于 一 个 主要 组 ,系统 管理 员 根 据 用 户 的 身份 来 分 配 组 ID, 普 通用 户 可 以 
直接 使 用 系统 自动 分 配 的 ID。 组 ID 的 信息 保存 在 文件 /etc/group 里 。 

(4) 定义 登录 后 使 用 的 SHELL。 

添加 用 户 时 ,系统 会 为 用 户 分 配 一 个 SHELL ,以便 用 户 登录 到 系统 时 ,能 够 操作 计 
算 机 。 常 用 的 SHELL 有 bash、ksh 或 csh。 现 在 常用 的 是 bash, 有 些 Linux 版 本 将 其 设 
定 为 默认 SHELL。 当 然 ,如 果 用 户 对 于 某 种 特点 的 SHELL 比较 熟悉 ,也 可 以 将 初始 
SHELL 设 成 自己 需要 的 。 用 户 在 进入 系统 后 ,也 可 以 自行 进行 SHELL 的 切换 。 不 打 
算 登 录 的 用 户 或 者 一 些 应 用 系统 的 用 户 , 只 能 分 配 一 个 非 命 令 解 释 程 序 , 一 般 根据 需要 
设 定 为 nologin 或 者 其 他 的 内 容 。 

(5) 设 定 用 户 密码 。 

系统 内 置 的 工具 都 提供 了 指定 初始 密码 的 提示 。 有 关 密 码 的 设 定 , 下 面 会 有 一 些 具 
体 的 讲述 ,就 不 做 详细 论述 了 。 

(6) 创建 用 户主 目录 。 

一 般 而 言 ,管理 员 要 为 每 个 用 户 分 配 一 个 主 目录 , 主 目录 的 路 径 在 文件 /etc/passwd 
中 指定 。root 用 户 在 为 用 户 创 建 了 目录 后 ,要 使 用 chown 命令 将 目录 的 拥有 者 修改 为 用 
户 ,具体 命令 格式 如 下 。 


[root@ test]chown < usemame> < directory name> 


2) 删除 用 户 

删除 用 户 与 添加 用 户 的 工作 正好 相反 ,首先 在 /etc/passwd 和 /etc/group 文件 中 删 
除 用 户 的 入 口 项 ,然后 删除 用 户 的 HOME 目录 和 所 有 文件 。 

# rm -r /usr/loginname 命令 删除 整个 目录 树 , 如 果 用 户 在 /usr/spool/cron/ 
crontabs 中 有 crontab 文件 ,也 应 当 删 除 。 也 可 以 利用 userdel 来 删除 用 户 或 者 在 图 形 界 
面 下 处 理 。 

3) 用 户 组 的 管理 

可 以 使 用 用 户 组 的 添加 命令 groupadd 和 groupdel 来 增添 .删除 用 户 。 所 有 的 命令 
都 是 通过 对 配置 文件 /etc/group 的 操作 来 完成 的 。/etc/group 文件 含有 关于 组 的 信 
息 ,/etc/passwd 中 的 每 个 GID 在 本 文件 中 都 有 相应 的 入 口 项 。 入 口 项 中 列 出 了 小 组 名 
和 小 组 中 的 用 户 ,这样 可 方便 地 了 解 每 个 小 组 的 用 户 ,否则 必须 根据 GID 在 /etc/passwd 
文件 中 从 头 至 尾 地 寻找 同 组 用 户 。/etc/group 文件 对 小 组 的 许可 权限 的 控制 并 不 是 必 
要 的 ,因为 系统 用 UID 来 控制 文件 的 权限 ,而 GID 存在 于 /etc/passwd 中 ,即使 /etc/ 
group 文件 不 存在 于 系统 中 ,具有 相同 的 GID 用 户 也 可 以 小 组 的 存 取 许可 权限 共享 文 
件 。 用 户 组 就 像 登 录用 户 一 样 可 以 有 密码 。 如 果 /etc/group 文件 入 口 项 的 第 二 个 域 为 
非 空 , 则 将 被 认为 是 加 密 密 码 。newgrp 命令 将 要 求 用 户 给 出 密码 ,然后 将 密码 加 密 , 再 
与 该 域 的 加 密 密 码 比较 。 需 要 注意 的 是 .给 组 建立 密码 不 是 个 好 的 管理 习惯 ,这 会 给 系 
统 安全 ,特别 是 组 用 户 的 文件 管理 带 来 很 大 的 隐患 。 

要 增加 一 个 新 组 ,必须 编辑 group 文件 ,为 新 组 添加 一 个 人口 项 。 由 于 用 户 登 录 时 ， 
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系统 从 /etc/passwd 文件 中 取 GID, 而 不 是 从 /etc/group 中 取 GID, 所 以 ,group 文件 和 密 
码 文件 应 当 具 有 一 致 性 。 对 于 一 个 用 户 的 小 组 ,UID 和 GID 应 当 是 相同 的 。 多 用 户 小 组 
的 GID 应 当 不 同 于 任何 用 户 的 UID。 目 前 系统 都 提供 了 一 些 工具 ,会 自动 为 新 加 的 用 户 
或 组 分 配 相 应 的 GID 和 UID。 但 在 一 些 特殊 的 情况 下 ,还 是 需要 修改 这 几 个 文件 ,管理 
员 需 要 理解 这 些 文件 的 用 途 。 


2. 用 户 密码 的 安全 


对 于 Linux/Unix 系统 来 说 ,密码 的 安全 至 关 重 要 。 当 把 所 有 的 东西 都 保存 在 计算 
机 上 ,要 防止 别人 查看 这 些 信息 的 方法 就 是 用 密码 把 计算 机 保护 起 来 。 但 无 法 破解 的 密 
码 是 不 存在 的 ,只 要 给 足 时 间 和 资源 ,所 有 的 密码 都 能 破解 出 来 。 而 其 中 通过 社会 工程 
或 其 他 方法 获得 服务 器 的 密码 是 最 简单 和 最 流行 的 人 侵 服 务 器 的 方法 。 

作为 一 个 系统 管理 员 ,定期 运行 一 下 密码 破解 程序 ,是 保证 系统 安全 的 好 方法 。 这 
有 利于 尽早 地 发 现 和 替换 那些 很 容易 被 猜 出 来 的 密码 ,并且 需要 有 一 个 好 的 密码 检查 机 
制 ,在 用 户 选择 新 密码 或 改变 旧 密 码 的 时 候 ,排除 那些 有 安全 隐患 的 密码 。 那 些 字 典 里 
的 单词 .全 是 大 写 或 全 小 写 的 以 及 没有 包含 数字 或 特殊 字符 的 字符 串 是 不 能 用 来 作 密码 
的 。 建 议 用 下 面 的 规则 选择 有 效 的 密码 。 

(1) 密码 至 少 要 有 6 个 字符 ,最 好 包含 一 个 以 上 的 数字 或 特殊 字符 。 

(2) 密码 不 能 太 简单 ,不 要 用 自己 的 名 字 、 电 话 号 码 、 生 日 .职业 或 者 其 他 个 人 信息 作 
为 密码 ,这 种 密码 很 容易 猜 出 来 。 

(3) 密码 需要 设 定 合适 的 有 效 期 ,在 一 段 时 间 之 后 就 要 更 换 密码 。 

(4) 如 果 发 现 有 人 试图 猜测 密码 ,而 且 已 经 试 过 很 多 次 了 。 在 这 种 情况 下 必须 作废 
或 者 重新 设 定 密码 。 

装 完 Linux 系统 之 后 ,默认 的 最 小 密码 长 度 为 5。 但 是 这 样 是 不 够 安全 的 ,最 好 密码 
的 长 度 能 够 大 于 8。 如 果 要 强制 用 户 使 用 8 个 字符 以 上 的 密码 ,需要 编辑 /etc/login. defs 
文件 ,找到 PASS_MIN_LEN 5 这 一 行 , 改 为 PASS_MIN_LEN 8。 这 样 , 当 用 户 设 定 的 
密码 小 于 8 位 的 话 , 系 统 会 提示 设 定 不 成 功 , 直 到 将 密码 设 成 8 位 及 以 上 。 注 意 login. 
defs 是 一 个 重要 的 配置 文件 ,其 中 设 定 了 许多 系统 的 默认 参数 ,包括 密码 的 最 长 及 最 短 
有 效 期 .UID 的 最 小 和 最 大 数 .GID 的 最 小 和 最 大 数 等 。 可 以 通过 修改 这 个 文件 中 的 这 
些 参数 来 定制 其 他 的 安全 策略 。 


3. root 账号 的 安全 与 管理 


root 账号 是 Linux 系统 中 享有 特权 的 账号 。root 账号 是 不 受 任何 限制 和 制约 的 。 
因为 系统 认为 root 知道 自己 在 做 些 什么 ,而 且 会 按 root 说 的 做 ,不 问 任 何 问题 。 因 此 ， 
可 能 会 因为 融 错 了 一 个 命令 ,导致 重要 的 系统 文件 被 删除 。 使 用 root 账号 的 时 候 , 要 非 
常 小 心 。 因 为 安全 原因 ,在 不 是 绝对 必要 的 情况 下 ,不 要 用 root 账号 登录 。 特 别 要 注意 
的 是 ,不 在 自己 的 服务 器 上 的 时 候 , 千 万 不 要 在 别 的 计算 机 上 用 root 登录 自己 的 服务 器 ， 
这 是 非常 糟糕 的 一 件 事 。 在 用 户 账号 中 ,入 侵 者 最 喜欢 具有 root 权限 的 账号 ,这 种 超级 
用 户 有 权 修 改 或 删除 各 种 系统 设置 ,可 以 在 系统 中 畅行 无 阻 。 因 此 ,在 给 任何 账号 赋予 
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root 权限 之 前 ,都 必须 仔细 考虑 。 
4. 特殊 账号 的 处 理 


Linux 系统 中 提供 了 这 样 可 能 不 需要 的 预 置 账号 。 为 了 系统 的 安全 ,每 次 升级 或 安 
装 完 系 统 后 都 要 检查 一 下 账号 ,禁止 掉 其 中 一 些 不 必要 的 预 置 账号 。 如 果 确 定 不 需要 这 
些 账号 ,可 以 从 系统 中 把 它们 删 掉 。 因 为 系统 中 有 越 多 的 账号 ,就 越 容易 受到 攻击 。 具 
体 处 理 过 程 如 下 。 

第 一 步 , 用 下 面 的 命令 删除 一 些 不 必要 的 用 户 。 


root@ test 
root@ test 
root@ test 
root® test 
root@ test 
root@ test 
root@ test 
root@ test 
TootQ test. 
root@ test 
TootQ test. 


TootQ test 
root@ test 
root@ test 
TootQ test 
TootQ test 
Toot8 test 
TootQ test. 
TootQ test 
root@ test 


TootQ test 
root@ test 


#userdel adm 

#userdel lp 

#userdel sync 

#userdel shutdown 

#userdel halt 

#userdel news 

#userdel uuap 

#userdel operator 

#userdel games (如 果 不 用 XWndow 服 务 器 ,可 以 删除 这 个 用 户 ) 
#userdel gopher 

#userdel ftp (如 果 没 安装 匿名 ftp 服 务 器 ,可 以 删除 这 个 用 户 ) 


第 二 步 ,输入 下 面 的 命令 删除 一 些 不 必要 的 组 。 


#groupdel adm 

#groupdel lp 

#groupdel news 

#groupdel uucp 

#groupdel games (delete this group if you don't use X Window Server) 
#groupdel dip 

#groupdel pppusers 

#groupdel popusers (delete this group if you don't use pop server for email) 
#groupdel slipusers 


第 三 步 , 给 系统 中 的 用 户 添加 或 改变 密码 。 


#useradd admin 
#passwd admin 


这 些 命令 


的 输出 如 下 所 示 。 


Changing password for user admin 

New UNIX password: somepasswd 

Passwd: all authentication tokens updated sucoessfully 

第 四 步 , 由 于 “不 许 改变 ”位 可 以 用 来 保护 文件 使 其 不 被 意外 地 删除 或 重 写 ,也 可 以 
防止 有 些 人 创建 这 个 文件 的 符号 连接 。 删 除 /etc/passwd、/etc/shadow、/etc/group 或 


/etc/gshadow 


都 是 黑客 的 攻击 方法 。 所 以 ,要 给 密码 文件 和 组 文件 设置 不 可 改变 位 ,可 
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以 用 下 面 的 命令 完成 。 


[roct8 test]#chattr i /etc/passwd 
[root@ test]#chattr i /etc/shadow 
[root® test]#chattr i /etc/group 
[root@ test]#chattr i /etc/gshadow 


注意 : 如 果 将 来 要 在 密码 或 组 文件 中 增加 或 删除 用 户 ,就 必须 先 清除 这 些 文件 的 不 
可 改变 位 ,否则 就 不 能 做 任何 改变 。 如 果 没 有 清除 这 些 文件 的 不 可 改变 位 ,安装 那些 会 
自动 在 密码 文件 和 组 文件 中 加 入 新 用 户 的 rpm 软件 包 的 时 候 , 在 安装 过 程 中 就 会 出 现 出 

接 下 来 对 root 的 安全 加 固 的 工作 就 是 要 防止 任何 人 都 可 以 用 su 命令 成 为 root, 如 
果 不 想 任何 人 都 可 以 用 su 命令 成 为 root 或 只 让 某 些 用 户 有 权 使 用 su 命令 ,那么 在 /etc/ 
pam. d/su 文 件 中 加 入 下 面 两 行 。 

auth sufficient /lib/security/pam rootok.so dabug 

auth required /lib/security/pam wheel .so group= wheel 

加 入 这 两 行 之 后 ,/etc/pam. d/su 文件 如 下 所 示 。 

#% PAM-1.0 

auth sufficient /lib/security/pam rootok.so debug 

auth required /lib/security/pam wheel.so group= wheel 

auth required /lib/security/pam pwdb.so shadow nullok 

account required /lib/security/pam pwdb.so 

Password required /lib/security/pam cracklib.so 

Password required /lib/security/pam pwdb.so shadow use_authtok nmullok 

session required /lib/security/pam pwdb.so 

Session optional /lib/security/pam xauth.so 

这 两 行 的 意思 是 只 有 wheel 组 的 成 员 才 能 用 su 命令 成 为 root。 注 意 ,wheel 组 是 系 
统 中 用 于 这 个 目的 的 特殊 账号 ,不 能 用 别 的 组 名 。 

由 于 在 /etc/pam. d/su 配置 文件 中 定义 了 wheel 组 ,现在 介绍 一 下 怎样 让 一 些 用 户 
加 入 到 wheel 组 ,从 而 可 以 用 su 命令 成 为 root。 如 果 想 让 admin 用 户 成 为 wheel 组 的 成 
员 ,用 如 下 的 命令 操作 。 


[root@ test]#usemmod -G10 admin 


其 中 ,G 是 表示 用 户 所 在 的 其 他 组 ,10 是 wheel 组 的 ID 值 ,admin 是 我 们 加 到 wheel 
组 的 用 户 。 用 同样 的 命令 可 以 让 其 他 的 用 户 加 入 到 wheel 组 ,从 而 可 以 用 su 命令 成 为 


root。 
424 Linx 系 统 安全 加 固 方法 


在 系统 连接 到 网 络 之 前 进行 加 固 , 以 避免 受到 攻击 。 下 面 将 讨论 最 小 化 安装 、 授 权 / 
认证 .本 地 和 网 络 安 全 攻击 和 如 何 防 御 攻 击 以 及 数据 安全 ,病毒 和 恶意 程序 。 在 完成 初 
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步 计划 并 准备 和 执行 了 最 小 化 安装 后 ,需要 系统 管理 员 进 行 一 些 配 置 步 又。 这 些 步骤 通 
常 被 称 做 是 加 固 Linux。 主 要 包括 保护 引导 过 程 . 保 护 服务 和 后 台 进 程 . 保 护 本 地 文件 、 
强制 实行 配额 和 限制 及 更 新 和 添加 安全 补丁 。 


1. 保护 引导 过 程 


LILO 是 Linux 上 一 个 多 功能 的 引导 程序 。 它 可 以 用 于 多 种 文件 系统 ,也 可 以 从 软 
盘 或 硬盘 上 引导 Linux 并 装 入 内核 ,还 可 以 作为 其 他 操作 系统 的 “引导 管理 器 ”"。 配 置 引 
导 加 载 器 ,使 系统 在 引导 时 不 被 任何 用 户 干涉 ,防止 用 户 在 引导 提示 期 间 向 内 核 传 递 参 
数 。 除 非 需 要 远程 引导 (比如 在 远程 的 数据 中 心 ) ,不 然 就 配置 它 要 求 输入 密码 。 这 是 对 
有 可 能 物理 上 接触 机 器 的 人 的 进一步 防范 。 它 可 以 防止 某 些 事件 的 偶然 攻击 ,比如 使 用 
参数 single 或 者 init=/bin/sh 来 获得 root shell 等 。 根 (/) 文 件 系 统 对 LILO 来 说 很 重 
要 ,LILO 要 告诉 内 核 到 那里 去 找 根 文件 系统 ,同时 LILO 需要 用 到 的 引导 鹿 区 /boot 目 
录 和 内 核 都 存放 在 根 文件 系统 中 。 引 导 扇 区 包括 LILO 引导 程序 的 第 一 部 分 ,这 个 部 分 
在 引导 阶段 的 后 半 部 分 还 要 装 人 更 大 的 引导 程序 。 这 两 个 引导 程序 通常 存在 /boot/ 
boot.b 文件 中 。 

因为 LILO 对 Linux 系统 非常 重要 ,所 以 需要 很 好 地 保护 好 它 。LILO 最 重要 的 配 
置 文件 是 /etcylilo. conf 文件 。 用 这 个 文件 可 以 配置 或 提高 LILO 程序 以 及 Linux 系统 
的 安全 性 。Lilo. conf 中 有 三 个 重要 的 选项 设置 。 

1) timeout=00 

这 项 设置 设 定 LILO 在 引导 默认 的 系统 之 前 ,等 候 用 户 输入 的 时 间 。C2 安全 等 级 规 
定 这 个 时 间 间 隔 必须 设 成 0, 因 为 多 重 引导 会 使 系统 的 安全 措施 形同虚设 。 除 非 想 用 多 
重 引导 ,和 否则 最 好 把 这 项 设 成 0。 

2) restricted 

当 LILO 引导 的 时 候 , 输 入 参数 linux single, 可 以 进入 单 用 户 (single) 模 式 。 因 为 单 
用 户 模式 没有 密码 验证 ,所 以 可 以 在 LILO 引导 时 ,加 上 密码 保护 。restricted 选项 只 能 
和 password 合 起 来 用 。 注 意 要 给 每 个 内 核 都 要 加 上 密码 保护 。 

3) password 一 password 

用 单 用 户 模 式 启动 Linux 系统 的 时 候 ,系统 要 求 用 户 输入 这 个 密码 ,密码 是 大 小 写 
敏感 的 。 而 且 要 让 /etc/lilo. conf 文件 ,除了 root 之 外 ,其 他 用 户 没 有 读 的 权限 ,这 样 也 就 
看 不 到 密码 了 。 下 面 是 用 lilo. conf 文件 保护 LILO 的 具体 步骤 。 

(1) 编辑 lilo. conf 文件 (vi /etc/lilo. conf) ,加 上 或 改变 下 面 介绍 的 设置 。 


timeout= 00 // 将 这 里 修改 成 00 
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restricted // 加 入 本 行 
image= /boot/vmlinuz 2.4.20-8 
label= linux 
initrdF /boot/initrd 2.4.20-8.img 
read only 


(2) 因为 /etc/lilo. conf 配置 文件 里 ,存在 没有 经 过 加 密 的 密码 ,所 以 ,只 有 root 才能 
有 读 的 权限 。 用 下 面 的 命令 改变 文件 的 权限 。 
root@ test]#chmod 600 /etc/lilo.conf (will be no longer world readable) . 
(3) 使 改变 后 的 /etc/lilo. conf 配置 文件 生效 。 
root@ test]#/sbin/lilo -v 
(4) 为 了 更 安全 一 点 ,可 以 用 chattr 命令 给 lilo. conf 文件 加 上 不 可 改变 的 权限 。 让 
文件 不 可 改变 用 下 面 的 命令 。 
Toot@ test]#chattr i /etc/lilo.conf 


这 样 可 以 避免 lilo. conf 文件 因为 意外 或 其 他 原因 而 被 改变 。 如 果 想 要 改变 lilo. 
conf 文件 ,必须 先 清除 它 的 不 可 改变 标志 。 清 除 不 可 改变 的 标记 采用 下 面 的 命令 。 


TootQ@ test]#chattr -i /etc/lilo.conf 


2. 保护 服务 和 后 台 进 程 


服务 的 安全 配置 的 第 一 个 步骤 就 是 禁用 所 有 不 需要 的 服务 。 一 些 不 必要 的 服务 ,不 
但 给 安全 带 来 巨大 隐患 者 ,而且 消耗 系统 资源 ,因此 将 不 需要 服务 禁用 ,使 其 不 会 被 潜在 
的 入 侵 者 所 利用 ,可 以 有 效 地 降低 风险 。 同 时 ,要 禁用 不 安全 的 服务 ,并 使 用 更 为 安全 的 
应 用 程序 来 取代 它们 。 例 如 , Telnet 不 是 加 密 的 ,尽量 使 用 加 密 的 ssh 服务 来 取代 
Telnet。 为 了 找 出 所 有 启用 的 服务 ,需要 检查 若干 个 文件 ,如 /etc/inittab 和 /etc/init. d 
中 的 引导 脚本 和 inetd/xinetd 中 的 后 台 进 程 。 

1) /etc/inittab 

在 引导 过 程 中 ,init 进程 会 去 读 取 /etc/inittab 文件 中 的 条 目 。 完整 的 文件 格式 
如 下 。 


#Default rnlevel. The runlevels used by RHS are: 

0- halt (Do NOT set initdefault to this) 

- Single user mode 

- Miltiuser, without NES (The same as 3, if you db not have networking) 
- FUL mltiuser mae 

- Unused 

= 


anowDp 


- Teboot (Do NOT set initdefault to this) 
: 3: initdefault: 


[a 
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#9ystem initialization. 
si:: sysinit: /etc/rc.d/rc.sysinit 


10: 0: wait: /etc/rc.d/rc 0 
11: 1: wait: /etc/rc.d/rc 1 
12: 2: wait: /etc/rc.d/rc 2 
13: 3: wait: /etc/rc.d/rc 3 
14: 4: wait: /etc/rc.d/rc 4 
15: 5: wait: /etc/rc.d/rc 5 
16: 6: wait: /etc/rc.d/rc 6 


#Trap CIRI ALT DETETE 

Ca: : ctrlaltdel: /sbin/shutdown -t3-r now 

#When our UPS tells us power has failed, assume we have a few minutes 

#0f power left. Schedule a shutdown for 2 minutes from now. 

#This does, of oourse, assume you have powerd installed and your 

#UPS connected and working correctly. 

pf: : powerfail: /sbin/shutdown -f -h +2 "Power Failure; System Shutting Down" 

#If power was restored before the shutdown kicked in，cancel it. 

Pr: 12345: powerokwait: /sbin/shutdown -c "Power Restored; Shutdown Canocelled" 

#Fun gettys in standard runlevels 

1: 2345: respawn: /sbin/mingetty ttyl 

2: 2345: respawn: /sbin/mingetty tty2 

3: 2345: respawn: /sbin/mingetty tty3 

4: 2345: respawn: /sbin/mingetty tty4 

5: 2345: respawn: /sbin/mingetty tty5 

6: 2345: respawn: /sbin/mingetty tty6 

#Rm xdm in runlevel 5 

X: 5: respawn: /etc/X11/prefdm -nodaemcn 

每 一 个 条 目 和 每 一 行 都 定义 了 在 特定 的 条 件 下 运行 哪些 程序 。 这 些 程序 或 者 本 身 
是 服务 ,或 者 是 用 于 启动 和 停止 服务 。/etcyinittab 中 条 目的 格式 是 ,前 面 是 条 目的 标签 ， 
随后 是 在 哪些 运行 级 下 此 条 目 要 执行 ,然后 是 动作 关键 字 以 及 包括 命令 行 参数 的 需要 执 
行 的 命令 。 所 有 这 些 域 都 用 冒号 隔 开 。 

init 进程 能 识别 并 定义 运行 级 (run levels) 的 状态 。 当 输入 了 运行 级 或 者 发 生 特定 的 
事件 (比如 电源 故障 ) 时 ,就 会 考察 那些 条 目 ,并 执行 适当 的 命令 。 

系统 定义 了 如 下 6 个 运行 级 别 。 
; 关机 。 不 要 把 系统 的 默认 级 别 设置 为 0, 否则 系统 不 能 正常 启动 。 
: 单 用 户 模式 。 用 于 root 用 户 对 系统 进行 维护 ,不 允许 其 他 用 户 使 用 主机 。 
: 多 用 户 模式 。 在 该 模式 下 不 能 使 用 NFS。 
: 完全 多 用 户 模式 。 主 机 作为 服务 器 时 , 常 在 该 模式 下 。 
; 未 分 配 使 用 。 
: 图 形 登 录 的 多 用 户 模 式 。 用 户 在 该 模式 下 可 以 进行 图 形 界面 的 登录 。 
, 重新 启动 。 不 要 把 系统 的 默认 级 别 设置 为 6, 否则 不 能 正常 启动 。 
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如 果 图 形 登 录 不 是 必需 的 ,为 了 减少 不 必要 的 应 用 ,建议 系统 的 默认 级 别 设 定 为 3。 
id: 3: initdefault: 


为 了 保护 Linux 系统 ,用 户 应 该 理解 /etc/inittab 中 所 有 条 目的 功能 ,并 禁用 潜在 不 
必要 的 服务 ,将 其 删除 或 者 在 那 一 行 的 开头 使 用 # 号 注释 掉 它 。 在 所 有 Linux 系统 中 ， 
都 会 有 以 下 两 类 条 目 ,第 一 类 用 来 启动 名 为 /sbin/getty( 或 者 类 似 的 ) 的 程序 ,这 些 通常 
是 用 来 允许 通过 Linux 虚拟 控制 台 或 者 串 行 线 登录 ;第 二 类 运行 /etc/rc. d 目录 中 通常 名 
为 rc 的 脚本 ,并 将 当前 运行 级 作为 参数 给 出 。 

2) /etc/init. d 中 的 引导 脚本 

/etc/init. d 中 的 引导 脚本 用 来 启动 或 者 停止 系统 服务 。 每 一 个 运行 级 都 有 一 
/etc/rcN.d 目录 (N 是 运行 级 的 标识 ) ,其 中 包含 了 指向 那些 在 运行 级 改变 时 需要 调用 的 
脚本 的 链接 。 如 果 链 接 文 件 名 以 S 开头 , 则 脚本 在 进入 那个 运行 级 时 被 执行 ,启动 相应 
的 服务 ;如 果 以 K 开头 , 则 脚本 在 退出 那个 运行 级 时 被 执行 ,停止 那个 服务 。 大 部 分 情况 
下 ,引导 脚本 的 名 称 会 指示 它 所 控制 的 服务 ,如 rc3. d 目录 下 的 S55sshd 表明 在 进入 运行 
级 3 时 ,会 启用 sshd 服务 。 要 防止 在 特定 的 运行 级 中 会 启动 某 个 服务 , 则 删除 运行 级 目 
录 中 指向 相应 引导 脚本 的 链接 ,或 者 使 用 一 个 不 做 任何 事情 的 虚 脚 本 取代 /etc/init. d 中 
原来 的 引导 脚本 即 可 。 

3) inetd/xinetd 中 的 后 台 进 程 

可 以 在 客户 机 请 求 时 根据 需要 调用 服务 。 这 些 请 求 被 转交 给 超级 后 台 进程 meg 吉 
者 xinetd。 然 后 超级 后 台 进 程 确定 要 启动 哪个 服务 ,并 将 请 求 传递 到 相应 的 后 台 进程 。 

通常 ,Telnet,ftp、rlogin 等 服务 使 用 inetd 或 者 xinetd 启动 。 

(1) inetd 的 管理 。 

inetd 也 叫做 “超级 服务 器 ”,inetd. conf 是 inetd 的 配置 文件 ,位 于 /etc 日 录 下 , 它 指 
挥 inetd 监听 哪些 网 络 端 口 ,为 相应 的 端口 启动 相应 的 服务 。 不 需要 的 服务 应 该 被 禁止 
掉 , 最 好 将 其 印 载 ,这 样 系统 的 漏洞 就 少 一 些 。 禁 止 任何 不 需要 的 服务 ,具体 过 程 如 下 。 

@ 将 inetd. conf 文件 的 许可 权限 改 成 600, 保 证 除了 root 用 户外 ,其 他 用 户 不 能 读 
写 并 执行 。 

[root@ test]#dmod 600 /etc/inetd.conf 


@ 编辑 inetd. conf 文件 (vi /etc/inetd. conf) ,禁止 所 有 不 需要 的 服务 ,如 ftp、telnet、 
shell login ,exec vtalk .ntalk ,imap、pop-2、pop-3,finger、auth 等 。 修 改 后 的 文件 具体 格式 
如 下 


#ftp stream tap nowait root /usr/sbin/tapd in.ftpd-1 - a 
#telnet stream tap nowait root /usr/sbin/tapd in.telnetd 
# 

#Shell, login, exec, oomsat and talk are BSD protoocols. 


改变 了 inetd. conf 文件 之 后 ,重启 inetd 进程 ,使 修改 生效 。 给 inetd 进程 发 一 个 
SIGHUP 信和 号 (killall -HUP inetd) 。 
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[root@ Geep /root]#killall -HOP inetd 


@ 用 chattr 命令 把 它 设 成 不 可 改变 ,来 保证 inetd. conf 文件 的 安全 ,把 文件 设 成 不 
可 改变 位 要 用 下 面 的 命令 。 
[roote test]#chattr 1 /etc/inetd.conf 


这 样 可 以 避免 inetd. conf 文件 的 任何 改变 (意外 或 是 别 的 原因 )。 一 个 有 i 属性 的 文 
件 是 不 能 被 改动 的 ,不 能 删除 也 不 能 重 命名 ,不 能 创建 这 个 文件 的 连接 ,不 能 往 这 个 文件 
里 写 数据 。 只 有 系统 管理 员 才 能 设置 和 清除 这 个 属性 。 如 果 要 改变 inetd. conf 文件 , 必 
须 通 过 以 下 命令 先 清 除 这 个 不 允许 改变 的 标志 。 

[root® test]#chattr -i /etc/inetd.conf 


(2) 从 安全 角度 出 发 ,新 的 LINUX 分 发 包 大 多 采用 xinetd 代替 了 inetd。 与 inetd 
相 比 ,xinetd 能 够 启动 基于 rpe 的 服务 ,并 支持 访问 控制 ,可 以 限制 进入 连接 的 速度 ,来 自 
特定 主机 的 连接 数目 ,或 者 某 个 服务 的 总 连接 数 。xinetd. conf 是 xinetd 的 配置 文件 , 它 
位 于 /etc 目录 下 。 

#Simple configuraticn file for xinetd 

#Some defaults, and include /etc/xinetd.d/ 


Gefaults 
{ 
instances =60 
log type =SYSILOG authpriv 
]og cn _success = 了 HOST PID 
log on failure =HOST 
ps =25 30 


includedir /etc/xinetd.d 

文件 最 后 一 行 表示 /etc/ xinetd. d 目录 是 存放 各 项 网 络 服务 (包括 http \ftp 等 ) 的 核 
心目 录 , 因 而 系统 管理 员 需 要 对 其 中 的 配置 文件 进行 熟悉 和 了 解 。 一 般 说 来 ,在 /etc/ 
xinetd. d 的 各 个 网 络 服务 配置 文件 中 ,每 一 项 都 有 下 列 形 式 。 


{ 


Disabled // 表 明 是 否 禁用 该 服务 

Flags // 可 重用 标志 

Socket. type //TCP/IP 数 据 流 的 类 型 ,包括 stream,datagram. raw 等 
Wait // 是 否 阻塞 服务 , 即 单线 程 或 多 线程 

User // 服 务 进程 的 via 

Server // 服 务 器 守护 进程 的 完整 路 径 

1og on failure // 登 录 错 误 日 志 记 录 


} 
其 中 ,service 是 必需 的 关键 字 , 且 属性 表 必 须 用 大 括号 括 起 来 。 每 一 项 都 定义 了 由 
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service-name 定义 的 服务 。service-name 是 任意 的 ,但 通常 是 标准 网 络 服务 名 ,也 可 增加 
其 他 非 标准 的 服务 ,只 要 它们 能 通过 网 络 请 求 激活 ,包括 localhost 自身 发 出 的 网 络 请 求 。 
每 一 个 service 有 很 多 可 以 使 用 的 attribute( 属 性 ) ,操作 符 可 以 是 “= 二”“ 十 二 ”或 “一 二 ”。 
所 有 属性 可 以 使 用 “二”, 其 作用 是 分 配 一 个 或 多 个 值 。 某 些 属性 可 以 使 用 “十 二 ”或 “一 
三 ”的 形式 ,其 作用 分 别 是 将 其 值 增加 到 某 个 现存 的 值 表 中 ,或 将 其 值 从 现存 值 表 中 
删除 。 

每 一 项 用 户 想 新 添加 的 网 络 服 务 描述 既 可 以 追加 到 现 有 的 /etc/xinetd. conf 中 ,也 
可 以 在 /etc/xinetd. conf 中 指定 的 目录 中 分 别 建立 单独 的 文件 。 建 议 采 用 后 一 种 做 法 ， 
因为 这 样 可 扩充 性 很 好 ,管理 起 来 也 比较 方便 ,用 户 只 需要 添加 相应 服务 的 描述 信息 即 
可 追加 新 的 网 络 服务 。 在 该 目录 中 使 用 如 下 命令 可 以 看 到 许多 系统 提供 的 服务 。 

如 果 想 要 开启 Telnet 服务 ,只 需要 通过 使 用 vi 编辑 器 改写 该 文件 为 如 下 内 容 。 然 
后 ,使 用 /etc/re. d/init. d/xinetd restart 命令 来 激活 Telnet 服务 即 可 。 

Servjce telnet 

{ 

disable=no // 将 该 域 置 为 no, 则 表明 开启 该 服务 


} 


如 果 想 要 关闭 某 个 不 需要 的 服务 , 则 将 上 述 的 “disable 二 no” 改 为 disable 一 yes” 
即 可 。 为 了 更 详细 地 访问 控制 ,xinetd 支持 以 下 三 个 另外 的 参数 : only_from、no_access 
和 access_time。 

以 Telnet 服务 为 例 , 说 明 其 用 法 。 为 了 限制 访问 ,但 不 完全 禁用 Telnet 后 台 进 程 ， 
可 以 对 配置 文件 /etc/xinetd. d/telnet 进行 如 下 修改 。 

service telnet 

{ 

disable=no 

flags= REUSE 

socket. type= stream 
wait=no 

User= Foot 

server= /usr/sbin/in.telnetd 
log on failuret=USERID 


nly from =192.168.200.3 192.168.200.7 192.168.200.9 
only fram +=192.168.200.10 192.168.200.12 172.16.0.0 
no acoess =172.16.{1,2,3,10} 


access times =07:0021:00 
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} 


only_from 和 no_access 可 以 接受 数字 IP 地 址 (最 右边 的 零 作 为 任意 数值 处 理 ) IP 
地 址 /网 络 掩 码 范围 .主机 名 以 及 /etc/networks 中 的 网 络 名 。 如 果 组 合 使 用 only_from 
和 no_access,xinetd 会 为 每 个 主机 连接 寻找 最 接近 的 匹配 。 在 前 面 的 代码 示例 中 ,表示 
IP 地 址 为 172. 16. x. x 的 主机 可 以 连接 到 此 主机 ,但 地 址 属于 172. 16. 1. x、172. 16. 2. x、 
172. 16. 3. x 和 172.16.10.x 的 则 不 能 连接 。 可 见 , 当 使 用 no_access 所 用 的 因数 符号 时 ， 
不 需要 指定 地 址 的 所 有 四 个 部 分 ,因数 部 分 必须 是 地 址 最 右边 的 部 分 。 

每 次 修改 了 配置 文件 后 ,为 使 修改 生效 , 需 使 用 /etc/rc. d/init. d/ xinetd restart 命令 
来 启用 最 新 的 配置 。 


3. 进程 保护 


Linux 在 运行 时 ,会 产生 大 量 的 进程 ,如 何 找 出 并 禁用 那些 不 必要 的 或 者 具有 潜在 危 
险 的 进程 ,需要 管理 员 和 弄 清楚 哪些 进程 正在 用 户 的 系统 中 实际 地 运行 ,并 禁用 那些 不 需 
要 的 进程 。 同 时 需要 定期 地 检查 不 正常 的 行为 ,定期 审计 。 查 看 是 否 有 未 知 的 进程 在 运 
行 ,因为 这 些 未 知 的 进程 可 能 会 提供 不 必要 的 服务 ,可 能 会 带 来 系统 的 损害 。 

理想 情况 下 ,用 户 应 该 明白 在 自己 的 系统 中 运行 的 每 一 个 进程 。 要 获得 所 有 进程 的 
列表 ,可 以 执行 命令 ps -ef。 显 示 的 进程 列表 中 有 方 括 号 的 是 内 核 级 的 进程 ,执行 辅助 功 
能 (比如 将 缓存 写 入 到 磁盘 ) ;其 他 所 有 进程 都 是 使 用 者 进程 。 用 户 会 注意 到 ,就 算是 在 
用 户 新 安装 的 (最 小 化 的 ) 系 统 中 ,也 会 有 很 多 进程 在 运行 。 要 熟悉 它们 ,并 把 它们 记录 
到 文档 中 。 


[root@ test]#ps -ef 


UD PD PPD C STIME TIY TIME OD 
root 1 0 0Feb06? 00:00:04 init [3] 

root 4 1 0Feo06? 00:00:00 [ksoftirad CEUO] 

root 9 1 0 Feb06? 00:00:00 [bdaflush] 

root 5 1 0 Feb06? 00:00:17 [kswapd] 

root 6 1 0Feb06? 00:00:00 [kscand/IMA] 

root 7 1 0Feb06? 00:00:00 [kscand/Nommal] 

root 8 1 0 Feb06? 00:00:00 [kscand/HighMem] 

root 10 1 0Feb06? 00:00:00 [kupdated] 

root 1 1 0EFeb06? 00:00:00 [mdreooveryd] 

Toot 15 1 0EFeb06? 00:00:24 [kjoumald] 

root 73 1 0Feo06? 00:00:00 [khubqd] 

root 2796 1 0Feb06? 00:00:00 [journald] 

root 3088 1 0Feb06? 00:00:06 syslogd -m0 

root 3092 1 0Feb06? 00:00:00 klogd -x 

root 3142 1 0Feb06? 00:00:04 /usr/sbin/sshd 

root 1 0 Feb06? 00:00:00 xinetd - stayalive -Teuse -pidfile /var 


3 
| 


1 0Feb06? 00:00:01 crond 
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root 3170 1 0 Feb06 tty2 00:00:00 /sbin/mingetty tty2 
root 19879 1 0 Feb09 ttyl 00:00:00 /sbin/mingetty ttyl 
root 30175 3142 006:38? 00:00:00 /usr/sbin/sshd 
root 30177 30175 0 06:38 pts/0 00:00:00 -bash 

root 30256 30177 0 06:43 pts/0 00:00:00 ps -ef 


开放 网 络 连接 的 进程 受到 攻击 的 潜在 可 能 最 大 。 要 获得 所 有 TCP 或 UDP 连接 的 
列表 ,可 以 执行 命令 netstat -atu( 附 带 名 字 解 析 , 易 读 ) 或 者 netstat -atun (没有 名 字 解 
析 ,更 快 )。 在 这 个 列表 中 ,特别 要 注意 状态 为 LISTEN 的 TCP 连接 和 所 有 的 UDP 连 
接 , 因 为 服务 器 通过 这 些 连 接 来 接收 到 来 的 连接 请 求 。 

确定 这 些 进 程 是 如 何 被 启动 的 (通过 /etc/inittab、 通 过 引导 脚本 等 ) 并 禁用 它们 。 如 
果 程 序 是 由 另 一 个 程序 启动 的 ,那么 这 项 任务 需要 管理 员 非 常熟 悉 系 统 , 如 X 服务 器 很 
有 可 能 是 由 显示 管理 器 (xdm kdm 或 gdm) 启 动 的 ,其 本 身 并 不 会 出 现在 inittab 或 引导 
脚本 目录 中 。 

netstat 所 列 出 的 连接 并 不 是 都 可 以 由 网 络 上 的 所 有 计算 机 来 使 用 。 在 任何 数据 包 
到 达 开 放 的 连接 之 前 ,基于 Linux 内 置 功能 的 防火 墙 可 以 进一步 控制 访问 。 


4. 保护 文件 系统 


保护 文件 系统 涉及 文件 和 目录 的 所 有 者 及 访问 它们 的 权限 。 要 保护 文件 系统 ,文件 
和 目录 的 保护 位 必须 设置 为 只 授予 最 小 限度 的 权限 。 要 特别 注意 关于 所 有 人 可 写 的 文 
件 和 系统 目录 的 不 适当 权限 ,以 及 所 谓 的 setuid 或 者 setgid 命令 。 这 些 命令 运行 时 的 用 
户 权限 比 运行 此 命令 的 用 户 实际 拥有 的 权限 更 高 ,这 对 于 访问 只 有 root 才 有 权限 访问 的 
文件 来 说 这 可 能 是 必需 的 。 举 个 例子 来 说 ,/etc/shadow 文件 由 于 存 有 用 户 的 加 密 密 码 
信息 ,对 系统 的 安全 至 关 重 要 ,因此 权限 很 严 ,只 有 root 才 有 权限 其 可 读 可 写 。 但 是 系统 
必须 允许 普通 用 户 也 能 修改 自己 的 密码 。 要 想 让 他 们 对 /etc/shadow 可 写 ,又 不 能 可 读 ， 
而 且 可 写 又 不 能 允许 他 们 改 别 人 的 密码 ,如 何 处 理 这 种 情况 呢 ? 系统 做 一 个 程序 , 即 bin 
目录 下 的 passwd, 通 过 它 可 以 在 不 显示 文件 内 容 的 情况 下 直接 修改 /etc/shadow 文件 ， 
这 个 程序 由 系统 赋予 它 setuid 权限 ,而 且 它 属于 root。 这 样 用 户 在 使 用 /bin/passwd 改 
密码 时 就 有 root 权限 。 由 于 /bin/passwd 命令 本 身 功 能 的 局 限 性 ,用 户 并 不 能 用 它 做 更 
多 的 不 利于 系统 安全 的 事 。 对 于 这 种 命令 ,要 确保 它们 每 一 个 都 确实 需要 设置 setuid/ 
setgid 位 。 如 果 程 序 或 文件 没有 这 种 需要 的 话 .需要 禁用 它 。 要 找 出 所 有 人 都 可 写 的 文 
件 ,使 用 以 下 命令 。 


[root®@ test]#find / -pemm -002 \ (-type £-o-type dA\) -1s 


其 中 : 

/是 搜索 的 起 始 位 置 。 

-perm 检查 权限 。 

002 表示 (八进制 符号 )other 设置 了 写 位 。 

模式 002 之 前 的 - 表示 设置 了 所 有 权限 位 (没有 考虑 模式 中 的 zero-bits) 。 
-typef 或 者 -type d 搜索 常规 的 文件 和 目录 。 
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-ls 以 1s 格式 列 出 找到 的 文件 。 

找到 文件 后 ,要 对 列 出 的 文件 进行 分 析 判 断 , 并 进行 相应 的 处 理 。 

当 某 个 分 区 上 的 所 有 文件 确实 都 不 需要 setuid/setgid 位 时 ,可 以 利用 /etc/fstab 中 
的 nosuid 选项 为 相应 文件 系统 中 的 每 个 文件 都 禁用 它 , 如 示例 中 的 /dev/hdcl) 。 


#9evice mountpoint filesystemtype cptions dnp fsckorder 
/dev/haal 7 ext2 Gefaults 间 1 
/dev/hacl Amt/odrom iso9660 nosuid, user 3 2 


此 外 ,对 于 所 有 敏感 的 数据 ,都 有 必要 对 其 进行 加 密 并 使 用 密码 保护 它 。 

1) 异常 和 隐 含 文件 

在 系统 的 每 个 地 方 都 要 查看 一 下 有 没有 异常 和 隐 含 文件 ,因为 这 些 文件 可 能 是 隐藏 
的 黑客 工具 或 者 其 他 一 些 信息 (密码 破解 程序 .其 他 系统 的 密码 文件 等 )。 在 Linux/ 
UNIX 操作 系统 下 ,一 个 常用 的 技术 就 是 用 一 些 特殊 的 名 ,如 *...”*.. “(点 点 空格 ) 或 
“2G”( 点 点 control-G) ,来 隐 含 文件 或 目录 。 用 "find" 程 序 可 以 查找 到 这 些 隐 含 文件 。 

[root®@ test]#find / -name ".. "-print - xdev 

[root®@ test]#find / -name ".* "-print -xdev | cat -v 

2) 查找 任何 人 都 有 写 权限 的 文件 和 目录 

如 果 人 侵 者 获得 并 改变 了 一 些 系统 文件 ,这 些 系 统 文件 就 会 成 为 安全 漏洞 。 任 何人 
都 有 写 权限 的 目录 也 同样 有 危险 ,因为 人 侵 者 可 以 根据 他 们 的 需要 自由 地 添加 或 删除 文 
件 。 在 正常 情况 下 有 些 文件 是 可 写 的 ,包括 一 些 /dev 目录 下 的 文件 和 符号 连接 。 在 系统 
中 定位 任何 人 都 有 写 权 限 的 文件 和 目录 用 下 面 的 命令 。 

[roote test]#find / -type f (-pem -2-0-pem-20 ) -exec 1s -1g {} 

[roote test]#find / -type d (-pem -2-0-pemm-20 ) -exec ls-1dg {} 

3) 查找 没有 主人 的 文件 

发 现 没有 主人 的 文件 就 意味 着 有 黑客 人 侵 系 统 了 。 不 能 允许 没有 主人 的 文件 存在 。 
如 果 在 系统 中 发 现 了 没有 主人 的 文件 或 目录 , 先 查看 它 的 完整 性 ,如 果 一 切 正 常 , 给 它 一 
个 主人 。 有 时候 秃 载 程序 可 能 会 出 现 一 些 没 有 主人 的 文件 或 目录 ,在 这 种 情况 下 可 以 把 
这 些 文件 和 目录 删除 掉 。 定 位 系统 中 没有 主人 的 文件 用 下 面 的 命令 。 

[root@ test]#find / -nouser -o -nogroup 

注意 : 不 用 管 /dev 目录 下 的 那些 文件 。 

4) 查找 . rhosts 文件 

查找 . rhosts 文件 是 日 常 管理 工作 的 一 部 分 .因为 这 些 文件 不 允许 在 系统 中 存在 。 
记 住 ,黑客 有 可 能 只 要 有 一 个 账号 就 可 能 入 侵 整 个 网 络 。 可 以 用 下 面 的 命令 定位 系统 中 
的 . rhosts 文件 。 


[root@ test]#find /home -name .rhosts 


也 可 以 用 一 个 cron 任务 定期 地 查看 、 报 告 和 删除 $ HOME/. rhosts 文件 。 同 时 ,也 
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必须 让 用 户 知道 系统 会 经 常 地 进行 这 种 审核 。 
5. 强制 实行 配额 和 限制 


Linux PAM( 插 入 式 认证 模块 ,Pluggable Authentication Modules) 可 以 强制 实行 一 
些 实 用 的 安全 限制 ,可 在 /etc/security/limits. conf 文件 中 对 此 进行 配置 ,这 些 限制 适用 
于 单个 对 话 。 用 户 可 以 使 用 maxlogins 来 控制 总 额 限制 。limits. conf 中 的 条 目 有 如 下 结 
构 ; username|@groupname type resource limit 。 

为 了 与 username 区 别 ,groupname 之 前 必须 加 @ 。 类 型 必须 是 soft 或 者 hard。 软 
限制 (soft-limit) 可 以 被 超出 ,通常 只 是 警戒 线 ,而 硬 限 制 (hard-limit) 不 能 被 超出 。 
resource 可 以 是 下 面 的 关键 字 之 一 。 

core 限制 内 核 文 件 的 大 小 (KB)。 

data 最 大 数据 大 小 (KB)。 

fsize 最 大 文件 大 小 (KB)。 

memlock ”最 大 锁定 内 存 地 址 空间 (KB)。 

nofile 打开 文件 的 最 大 数目 。 

rss 最 大 持久 设置 大 小 (KB) 。 

stack 最 大 栈 大 小 (KB)。 

cpu 以 分 钟 为 单位 的 最 多 CPU 时 间 。 

nproc 进程 的 最 大 数目 。 

as 地 址 空间 限制 。 

maxlogins 此 用 户 允 许 登 录 的 最 大 数目 。 

在 下 面 的 代码 示例 中 ,所 有 用 户 每 个 会 话 都 限制 在 10MB, 并 允许 同时 有 四 个 登录 。 
第 三 行 禁用 了 每 个 人 的 内 核 转 储 。 第 四 行 除去 了 用 户 bin 的 所 有 限制 。ftp 允许 有 10 个 
并 发 会 话 ( 对 匿名 ftp 账号 尤其 实用 )。managers 组 成 员 的 进程 数目 限制 为 40 个 。 
developers 有 64MB 的 memlock 限制 ,wwwusers 的 成 员 不 能 创建 大 于 50MB 的 文件 。 


基 hard rss 10000 
x hard maxlogins 4 
关 hard core 0 
bin 

ftp hard maxlogins 10 

@ managers hard mproc 40 
Qaevelopers hard memlock 64000 

@ wwwusers hard fsize 50000 


要 激活 这 些 限制 ,用 户 需要 在 /etc/pam. d/login 文件 底部 添加 下 面 一 行 “session 
required/lib/security/pam_limits. so”。 配 额 让 用 户 能 够 限制 用 户 和 组 的 inode 数目 和 可 
用 空间 。 

注意 : 配额 是 在 每 个 加 载 点 上 定义 的 ,如 果 用 户 在 若干 个 分 区 上 有 写 权 限 , 那 么 要 确 
保 为 它们 每 个 都 定义 配额 。 
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配额 是 管理 员 最 小 化 DoS 攻击 的 一 种 方式 ,这 类 攻击 以 填 满 硬盘 驱动 器 上 所 有 可 用 
空间 为 手段 ,这 会 使 其 他 进程 因 不 能 创建 临时 文件 而 失败 。 必 须 在 内 核 中 启用 配额 。 当 
前 大 部 分 发 行 版 本 都 支持 配额 。 要 为 文件 系统 启用 配额 ,需要 在 /etc/fstab 中 为 相应 的 
行 添加 一 个 选项 。 使 用 usrquota 和 grpquota 来 启用 用 户 配 额 和 组 配额 ,如 下 所 示 。 


/dewhaal / ext3 defaults 
/dev/hda?2 jhome ext3 defaults, usrquota 
/dev/hda3 /bm ext3 defaults, usrquota, grpquota 二 
/dev/hda4 /shared ext3 defaults, grpquota 和 
/dev/hdcl Ant/cdrom iso9660 nosuid, user he 


然后 ,使 用 mount -a -o remount 重新 挂 载 相 应 的 文件 系统 ,来 激活 刚才 添加 的 选项 。 
再 使 用 quotacheck -cugvm 创建 一 个 二 进 制 配 额 文件 ,其 中 包含 了 机 器 可 读 格 式 的 配额 
配置 ,这 是 配额 子 系统 要 操作 的 文件 。 

使 用 工具 edquota 完成 配额 的 指派 ,如 要 为 用 户 alice 定义 限制 , 则 使 用 edquota -u 
alice 来 调用 它 。 环 境 变量 editor 中 定义 的 编辑 器 vi 会 打开 ,其 中 有 类 似 如 下 的 内 容 。 


Quotas for user alice': 
/dev/hda2: blocks in use: 3567，limits (soft=5500, hard- 6500) 
inogdes in use: 412, limits (soft=1000, hard= 1500) 

in use 值 只 是 为 用 户 提 供 信息 ,不 能 被 修改 ,管理 员 能 修改 的 只 是 软 限制 和 硬 限 制 。 
保存 并 退出 编辑 器 后 ,edquota 会 读 取 用 户 刚才 编辑 的 临时 文件 ,并 将 那些 值 传递 到 二 进 
制 配额 文件 ,以 使 用 户 的 修改 生效 。 对 组 配额 的 编辑 与 此 相同 ,只 是 必须 使 用 -g 选项 而 
不 是 -u。 软 限制 是 警告 级 别 ,可 以 被 超出 ,而 硬 限制 是 严格 强制 的 。 软 限制 有 一 个 宽 限 
期 (grace period) ,有 时 也 称 为 软 性 时 间 限 制 (soft time limits) ,这 是 允许 用 户 超 出 软 限制 
直到 被 系统 强制 执行 之 前 的 时 间 间 隔 。 使 用 edquota -t 来 设置 宽 限期 ,可 以 使 用 的 单位 
是 秒 、 分 小时、 天 、 周 和 月 。 其 他 管理 配额 的 实用 工具 包括 repquota( 总 结 某 个 文件 系统 
的 配额 ) .quotaon 和 quotaoff( 打 开 和 关闭 配额 ) 。 


425 Linux 系 统 安全 管理 


通过 用 上 面 的 方法 对 Linux 服务 器 进行 安装 和 一 些 基 本 的 设置 后 ,服务 器 的 安全 性 
得 到 了 相当 的 提高 。 接 着 要 进行 服务 器 的 管理 ,成 功 管理 系统 的 关键 之 一 是 要 知道 系统 
中 正在 发 生 什么 事 , 而 日 志 是 了 解 Linux 系统 运行 情况 的 唯一 方法 。 系 统 再 安全 ,总 还 
是 会 有 入侵 者 可 以 通过 各 种 方法 利用 系统 管理 员 的 朴 忽 侵入 系统 。 但 其 一 举 一 动 都 会 
记录 到 系统 的 日 志 之 中 ,尽管 他 们 可 能 可 以 改变 这 些 日 志 信 息 , 甚 至 用 自己 的 程序 替换 
掉 系 统 本 身 的 命令 程序 ,但 是 通过 日 志 把 所 有 的 连接 都 记录 下 来 ,可 以 发 现 攻击 者 试图 
进行 的 攻击 。 下 面 主要 讲 一 下 Linux 环境 中 的 系统 日 志 管 理 和 系统 审计 以 及 怎么 用 一 
些 工 具 更 加 方便 有 效 地 管理 日 志 信息 。 


1. 日 志文 件 
Linux 日 志 存储 在 /var/log 目录 中 。 这 里 有 几 个 由 系统 维护 的 日 志文 件 , 但 其 他 服 


159 


于 人 = 操作 系统 安全 


务 和 程序 也 可 能 会 把 它们 的 日 志 放 在 这 里 。 大 多 数 日 志 只 有 root 才 可 以 读 ,这 些 日 志文 
件 为 系统 的 安全 状态 提供 了 信息 。 这 里 主要 讲解 两 个 日 志 守 护 程序 syslog 和 klogd, 并 
且 简 要 叙述 由 Linux 操作 系统 生成 的 其 他 日 志文 件 。 

(1) syslog: 大 部 分 的 Linux 系统 中 都 要 使 用 syslog 工具 , 它 使 系统 根据 不 同 的 日 志 
输入 项 采取 不 同 的 活动 。syslog 工具 由 一 个 守护 程序 组 成 ,能 接受 访问 系统 的 日 志 信息 
并 且 根 据 /etc/syslog. conf 配置 文件 中 的 指 令 处 理 这 些 信息 。 任何 希望 生成 日 志 信 息 的 
程序 都 可 以 向 syslog 接口 呼叫 生成 该 信息 。 通 常 syslog 接受 来 自 系 统 的 各 种 功能 的 信 
息 ,每 个 信息 都 包括 重要 级 。syslogd 根据 设备 和 信息 重要 级 别 来 报告 信息 。 syslog 守 
护 程序 是 由 /etcyrc. d/init. d/syslog 脚本 在 运行 级 2 下 被 调用 的 ,默认 不 使 用 选项 。 但 
有 两 个 选项 -r 和 -h 很 有 用 。 如 果 要 使 用 一 个 日 志 服 务 器 ,必须 调用 syslogd -r。 默 认 情 
况 下 syslog 不 接受 来 自 远程 系统 的 信息 。 当 指定 -r 选项 后 ,syslogd 将 会 监听 从 514 端 
口上 进来 的 UDP 包 。 如 果 还 希望 日 志 服 务 器 能 传送 日 志 信 息 , 可 以 使 用 -h 标志 。 默 认 
时 ,syslogd 将 忽略 使 其 从 一 个 远程 系统 传送 日 志 信 息 到 另 一 个 系统 的 /etc/syslog. conf 
输入 项 。 

(2) klogd:klogd 守护 进程 获得 并 记录 Linux 内 核 信息 。 通 常 ,syslogd 会 记录 klogd 
传 来 的 所 有 信息 。 然 而 ,如 果 调 用 带 有 -f filename 变量 的 klogd 时 ,klogd 就 在 filename 
中 记录 所 有 信息 ,而 不 是 传 给 syslogd。 当 指定 另外 一 个 文件 进行 日 志 记 录 时 ,klogd 就 
向 该 文件 中 写 和 人 所 有 级 别 或 优先 权 。klogd 中 没有 和 /etc/syslog. conf 类 似 的 配置 文件 。 
使 用 klogd 而 不 使 用 syslogd 的 原因 在 于 可 以 查找 大 量 错误 。 如 果 有 人 入 侵 了 内 核 ,使 
用 klogd 可 以 修改 错误 。 

在 /var/log 和 不 同 版 本 的 系统 中 以 及 自己 配置 的 应 用 程序 中 都 可 以 找到 其 他 日 志 
文件 。 当 然 ,/etc/syslog. conf 列 出 了 由 syslogd 管理 的 所 有 日 志文 件 名 和 位 置 。 其 他 日 
志 由 其 他 应 用 程序 管理 ,如 cron 工具 维护 的 信息 日 志文 件 /var/log/cron, 当 系统 重新 配 
置 时 将 生成 日 志文 件 。 

保证 在 /var/log 目录 下 的 不 同日 志文 件 的 完整 性 是 保证 系统 安全 所 要 考虑 的 非常 
重要 的 一 个 方面 。 所 以 .有 必要 创建 重要 的 日 志文 件 的 硬 复制 。 如 果 在 服务 器 上 已 经 加 
上 了 很 多 安全 措施 ,黑客 还 是 能 够 成 功 人 侵 , 那 么 日 志文 件 就 是 最 后 的 防范 措施 ,保证 日 
志文 件 的 完整 性 就 显得 非常 重要 。 如 果 服 务 器 上 或 网 络 中 的 其 他 服务 器 上 已 经 安装 了 
打印 机 ,就 可 以 把 重要 的 日 志文 件 打印 出 来 。 这 要 求 有 一 个 可 以 连续 打印 的 打印 机 ,并 
用 syslog 把 所 有 重要 的 日 志文 件 传 到 /dev/lp0( 打 印 设 备 ) 上 。 入 侵 者 可 以 改变 服务 器 
上 的 文件 ,程序 等 ,但 把 重要 的 日 志文 件 打印 出 来 之 后 ,他 就 无 能 为 力 了 。 例 如 ,需要 记 
录 下 服务 器 上 所 有 的 telnet、mail、 引 导 信息 和 ssh 连接 ,并 打印 到 连接 在 这 台 服 务 器 上 的 
打印 机 上 。 只 要 在 /etc/syslog. conf 文件 中 加 入 以 下 一 行 。 


authpriv. * ;mail.* ;local7.* ;auth.* ;daemon.info /dev/1p0 
重新 启动 syslog daemon 使 改动 生效 。 
[root@ test]#/etc/rc.d/init.d/syslog restart 


还 可 以 将 要 记录 的 服务 器 上 所 有 的 telnet、mail、 引 导 信 息 和 ssh 连接 的 日 志文 件 复 
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制 到 别 的 服务 器 上 。 把 所 有 日 志文 件 复制 到 其 他 计算 机 上 ,从 而 可 以 在 一 台 计 算 机 上 管 
理 多 台 计 算 机 的 日 志文 件 ,从 而 简化 管理 工作 。 具 体 步骤 是 先 编辑 接收 日 志文 件 的 服务 
器 (如 logserver. test. com) 上 的 syslog. conf 文件 (vi /etc/syslog. conf) ,在 文件 的 末尾 加 
入 下 面 这 一 行 : 


authpriv. * ;mail.* ;local7. * ;auth. * ;daemon.info /dev/1p0 


因为 syslog daemon 的 默认 配置 是 拒绝 接收 来 自 网 络 上 的 信息 ,必须 使 它 能 够 接收 
来 自 网 络 上 的 信息 ,在 logserver 接收 日 志文 件 服务 器 上 的 脚本 文件 syslog daemon 中 加 
和 人 下面 的 -r 参数 。 编 辑 syslog 脚本 文件 (vi /etc/re. d/init. d/syslog), 把 daemon 
syslogd -m 0 改 为 "daemon syslogd -r -m 0”。 

重新 启动 syslog daemon 使 改动 生效 。 


[root test]#/etc/rc.d/init.d/syslog restart 


最 后 ,编辑 一 下 发 送 日 志文 件 的 服务 器 上 的 syslog. conf 文件 (vi /etc/syslog. conf)， 
在 末尾 加 上 这 一 行 : 


authpriv. * ;mail.* ;local7. * ;auth. * ;daemon.info @ logserver 


logserver 是 接收 日 志文 件 的 计算 机 主机 名 。 如 果 有 人 试图 入 侵 服务 器 并 且 威 胁 把 
所 有 重要 的 系统 日 志文 件 都 删 掉 , 这 样 就 不 用 怕 了 ,因为 已 经 将 日 志 打 印 出 来 或 者 在 别 
的 地 方 还 有 一 个 复制 。 管 理 员 就 可 以 根据 这 些 日 志文 件 分 析出 入 侵 者 在 什么 地 方 ,然后 
处 理 这 次 入 侵 事 件 。 有 关 syslogd 程序 的 其 他 一 些 参 数 和 策略 ,可 以 用 man 命令 查看 帮 
助 : syslogd(8) .syslog(2) 和 syslog. conf(5)。 


2. 系统 审计 


Linux 系统 审计 主要 有 连接 审计 和 进程 审计 。 连 接 审计 是 跟踪 当前 用 户 当前 对 话 、 
用 户 登录 和 退出 的 活动 。 在 Linux 系统 中 使 用 utmp (动态 用 户 对 话 ) 和 wtmp( 登 录 / 退 
出 日 志 记录 ) 工 具 来 完成 这 一 审计 过 程 。wtmp 工具 还 同时 维护 重新 引导 和 系统 状态 变 
化 信息 。 各 种 程序 对 这 些 工 具 进 行 刷 新 和 维护 ,因此 无 须 进 行 特殊 的 后 台 进 程 或 程序 。 
然而 utmp 和 wtmp 输出 结果 文件 必须 存在 ,如 果 这 些 文件 不 存在 会 关闭 连接 审计 。 与 
utmp 和 wtmp 有 关 的 所 有 数据 将 分 别 保 存在 /var/run/utmp 和 /var/log/wtmp 中 ,这 些 
文件 归 root 用 户 所 有 。 

last 和 who 是 出 于 安全 角度 定期 使 用 的 最 常用 命令 。last 命令 提供 每 一 个 用 户 的 登 
录 时 间 、 退 出 登录 时 间 、 登 录 位 置 、 重 新 引导 系统 及 运行 级 别 变 化 的 信息 。last -10 表示 
last 的 最 多 输出 结果 为 最 近 的 10 条 信息 。 默 认 时 ,last 将 列 出 在 /var/log/wtmp 中 记录 
的 每 一 连接 和 运行 级 别 的 变化 。 从 安全 角度 考虑 ,last 命令 提供 了 迅速 查看 特定 系统 连 
接 活 动 的 一 种 方式 。 观 察 每 天 的 输出 结果 是 个 好 习惯 ,从 中 可 以 捕获 异常 输入 项 。last 
命令 的 -x 选项 可 以 通知 系统 运行 级 别 的 变化 。who 命令 主要 作用 是 报告 目前 正在 登录 
的 用 户 、 登 录 设 备 ,远程 登录 主机 名 或 使 用 的 X Windows 的 X 显 示 值 .会话 闲 置 时 间 以 
及 会 话 是 否 接 受 write 或 talk 信息 。 其 他 的 有 关 命 令 有 lastlog 命令 ,该 命令 报告 了 有 关 
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/var/log/lastlog 中 记录 的 最 后 一 次 登录 的 数据 信息 。 

Linux 的 进程 审计 是 对 进程 活动 的 记录 。 一 般 由 psacct 程序 来 完成 ,有 的 Linux 分 
发 包 已 安装 ,有 的 没有 安装 ,需要 根据 所 采用 的 系统 安装 使 用 psacct。 它 提供 了 几 个 进程 
活动 监视 工具 : ac、lastcomm 、accton 和 sa。 

ac 命令 显示 用 户 连 接 时 间 的 统计 。 

lastcomm 命令 显示 系统 执行 的 命令 。 

accton 命令 用 于 打开 或 关闭 进程 记 账 功能 。 

sa 命令 统计 系统 进程 记 账 的 情况 。 

原始 数据 保存 在 /var/log/pacct 文件 中 ,其 许可 权限 为 600。 该 文件 的 存在 是 进程 
审计 有 效 的 保障 。 与 连接 审计 不 同 ,进程 审计 必须 处 于 打开 状态 ,使 用 下 面 的 命令 设置 
打开 状态 。 

[roct8 test]#accton /var/log/pacct 


可 以 使 用 自选 文件 代替 /var/log/pacct, 但 必须 记 住 这 一 文件 并 且 设 置 适当 的 许可 
权限 。 必 须 在 每 次 引导 的 时 候 执行 该 命令 ,可 以 在 /etc/rc. dyrc. local 中 输入 以 下 脚本 。 

# initiate prooess account 

if [-x /sbin/accton ] 

then 

/sbin/accton /ar/log/pacct 

echo "process acoounting initiated" 

E24 

一 旦 在 系统 中 配置 进程 审计 后 ,就 可 以 利用 这 些 工具 来 监视 用 户 的 命令 和 时 间 。 

ac 命令 可 以 根据 登录 数 / 退 出 数 在 屏幕 上 打印 出 用 户 的 连 线 时 间 ( 单 位 为 小 时 ) 。 总 
计时 间 也 可 以 打印 出 来 。 如 果 执 行 没有 任何 参数 的 ac 命令 ,屏幕 将 会 显示 总 计 的 连 线 
时 间 。 

sa 是 一 个 统计 命令 。 该 命令 可 以 获得 每 个 用 户 或 每 个 命令 的 进程 使 用 的 大 致 情况 ， 
并 且 提 供 了 系统 资源 的 消费 信息 。 在 很 大 程度 上 ,sa 又 是 一 个 审计 命令 ,对 于 识别 特殊 
用 户 ,特别 是 已 知 特殊 用 户 使 用 的 可 疑 命令 十 分 有 用 。 另 外 ,由 于 信息 量 很 大 ,需要 处 理 
脚本 或 程序 筛选 这 些 信 息 。 可 以 用 这 样 的 命令 单独 限制 用 户 。 

[root@ test]#sa -u |grep test 

输出 结果 从 左 到 右 依 次 为 用 户 名 、CPU 使 用 时 间 秒 数 、 命 令 ( 最 多 为 16 个 字符 ) 。 

lastcomm 命令 提供 每 一 个 命令 的 输出 结果 ,同时 打印 出 与 执行 每 个 命令 有 关 的 时 间 
印 戳 。 就 这 一 点 而 言 ,lastcomm 比 sa 更 有 安全 性 。lastcomm 命令 使 用 命令 名 ,用 户 名 
或 终端 名 作为 变量 。 该 命令 可 以 查询 进程 审计 数据 库 。 

[root®@ test]#1astomm test 


下 面 显示 lastcomm test 的 输出 结果 ,每 行 表示 命令 的 执行 情况 ,从 左 到 右 为 用 户 、 
设备 、 使 用 的 cpu 时 间 秒 数 、 执 行 命令 的 日 期 和 时 间 。 
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Teboot test ttypl 0.01 secs Fri Feb26 18:40 
tcpdmp test ttypl 0.01 secs Fri Feb26 18:39 
lastcamm test ttypl 0.01 secs Fri Feb26 18:32 
1s test ttypl 0.01 secs Fri Feb26 18:30 


如 果 系 统 被 入 侵 , 就 不 要 太 相信 在 lastlog、utmp、wtmp、pacct 中 记录 的 信息 ,因为 这 
些 信息 可 能 被 修改 过 了 。 通 常 在 已 经 识别 某 些 可 疑 活动 后 ,进程 审计 可 以 有 效 地 发 挥 作 
用 。 使 用 lastcomm 可 以 隔绝 用 户 活动 或 在 特定 时 间 执 行 命令 。 但 是 使 用 该 命令 必须 设 
置 为 打开 状态 。 基 本 上 ,/var/log/pacct、/var/run/utmp、/var/log/pacct 是 动态 数据 库 
文件 。 其 中 /var/log/pacct 和 /var/log/wtmp 文件 随 着 输入 项 的 增加 和 修改 而 增加 。 解 
决 文件 过 于 庞大 的 方法 ,可 以 通过 logrotate 程序 来 解决 上 面 这 个 问题 ,该 程序 通过 读 取 
/etc/logrotate. conf 配置 文件 ,该 配置 文件 告诉 logrotate 所 要 读 /etc/logrotate. d 目录 中 
的 文件 ,ls 可 以 通过 它 来 设 定 日 志文 件 的 循环 时 间 。 


3. 更 新 和 添加 安全 补丁 


由 于 Linux 固有 的 特点 ,发 行 版 本 更 新 较 快 , 系 统 只 有 尽快 保持 更 新 , 才 可 能 在 安全 
上 得 到 有 效 保障 ,所 以 ,管理 员 需 要 及 时 了 解 系统 软件 和 应 用 软件 的 修订 和 补丁 。 通 常 
软件 提供 商 和 Linux 发 行商 会 在 网 站 上 为 用 户 及 时 地 提供 这 些 信 息 。 用 户 也 可 以 使 用 
CERT(computer emergency response team) 提 供 的 安全 服务 。 当 有 新 的 更 新 可 用 时 , 管 
理 员 应 该 去 查看 它 是 否 适用 于 本 系统 以 及 系统 的 安全 需要 。 安 装 更 新 本 身 可 能 会 导致 
安全 问题 。 还 要 考虑 到 每 个 更 新 都 可 能 会 引入 新 的 漏洞 ,或 者 如 果 更 新 失败 ,用 户 的 系 
统 可 能 会 停留 在 不 可 用 的 状态 。 当 在 大 范围 的 系统 中 安装 某 个 更 新 时 ,可 能 会 导致 用 户 
的 多 个 系统 在 更 新 期 间 互 相 不 兼容 。 所 以 ,更 新 系统 会 涉及 很 多 风险 。 要 降低 风险 , 需 
要 注意 以 下 几 点 。 

(1) 初始 安装 后 ,不 要 将 用 户 的 系统 立即 连接 到 网 络 。 将 所 有 相关 的 更 新 下 载 到 一 
台 单独 的 机 器 ,然后 手工 地 传输 它们 ,以 确保 系统 暴露 在 网 络 上 之 前 已 经 处 于 当前 状态 。 

(2) 管理 员 需 要 对 系统 进行 更 新 前 进行 备份 ,始终 拥有 可 用 的 近期 系统 备份 。 在 出 
现 问题 后 能 及 时 恢复 系统 。 

(3) 对 于 业务 中 每 一 个 关键 的 系统 ,建议 建设 一 个 与 产品 环境 的 硬件 和 软件 相同 的 
独立 测试 环境 。 先 在 测试 环境 中 更 新 ,如 果 成 功 , 再 应 用 到 真实 的 应 用 系统 ,以 防止 在 管 
理 产 品系 统 时 出 现 意 外 。 保 证 在 修改 产品 环境 之 前 ,测试 环境 中 的 主要 功能 和 服务 不 会 
受到 影响 。 

(4) 制订 安装 更 新 的 计划 ,要 考虑 更 新 系统 的 次 序 、 对 用 户 的 业务 来 说 关键 的 系统 、 
系统 如 何 互相 依赖 以 及 哪个 系统 包含 机 密 数 据 等 问题 。 

(5) 在 安装 任何 修订 之 前 ,要 使 用 密码 检验 和 工具 检查 软件 的 完全 性 和 真实 性 (尤其 
是 通过 网 络 下 载 的 软件 )。 


4. 系统 备份 
完成 Linux 系统 的 安装 以 后 ,需要 对 整个 系统 进行 备份 ,主要 是 为 了 以 后 可 以 根据 
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这 个 备份 来 验证 系统 的 完整 性 ,发 现 系统 文件 是 否 被 非法 算 改 过 。 而 且 当 发 生 系统 崩溃 
时 ,也 可 以 通过 备份 来 恢复 到 正常 的 状态 。 无 论 采 用 怎样 的 安全 措施 都 不 能 完全 消除 系 
统 崩 省 的 可 能 性 ,系统 的 安全 性 和 可 靠 性 是 与 备份 密切 相关 的 。 定 期 备份 对 安全 而 言 是 
非常 重要 的 ,可 使 系统 在 灾难 发 生 后 将 其 恢复 到 一 个 稳定 的 状态 ,并 将 损失 降 到 最 小 程 
度 。 备 份 的 常用 类 型 有 三 种 : 零 时 间 备 份 . 整 体 备份 和 增 量 备份 。 系 统 的 备份 应 根据 具 
体 情况 制定 合理 的 策略 ,备份 文档 应 经 过 处 理 ( 压 缩 、 加 密 等 ) 合 理 保存 。 

Linux/ Unix 系统 中 有 几 个 专门 的 备份 程序 ,分 别 是 dump、restore 和 backup。 网 络 
备份 程序 有 rdump/rstore、rcp 和 rdist 等 。 最 安全 的 备份 方法 是 把 它们 备份 到 别 的 地 
方 ,如 磁带 、 可 写 光 盘 、 网 络 存储 等 ,可 以 参考 相关 资料 学 习 使 用 方法 。 


426 其 他 的 一 些 安全 技术 


Linux 的 安全 涉及 的 面 比较 广 ,除了 上 述 一 些 安全 注意 事项 外 ,还 包括 一 些 需要 了 解 
的 安全 知识 ,主要 涉及 以 下 几 个 方面 。 


1. 部 分 文件 及 应 用 的 安全 措施 


1) 禁止 使 用 控制 台 程 序 

禁止 使 用 所 有 的 控制 台 程 序 , 这 是 最 简单 而 且 最 常用 的 保证 系统 安全 的 方法 。 可 以 
运行 下 面 的 命令 来 实现 。 

[roct test]#m-f£ /etc/security/oonsole.apps/servioaname 


这 里 servicename 是 要 禁止 的 控制 台 程序 名 。 除 非 使 用 xdm ,否则 不 要 把 xserver 文 
件 删 掉 ,否则 除了 root 之 外 ,没有 人 可 以 启动 X 服务 器 了 。 如 果 使 用 xdm 启动 X 服务 
器 ,这 时 root 是 唯一 需要 启动 X 服务 器 的 用 户 , 这 才 有 必要 把 xserver 文件 删 掉 。 

[root@ test]#mm-£ /etc/security/console.apps/halt 

[root®@ test]#mm-f£ /etc/security/console.apps/poweroff 

[root@ test]#m-f£ /etc/security/console.apps/reboot 

[rooct8 test]#m-£ /etc/security/console.apps/shutdcown 

[roctQ test]#mm-f /etc/security/console.apps/xserver 

这 些 命令 可 以 禁止 所 有 的 控制 台 程 序 : halt、poweroff、reboot 和 shutdown。 只 有 装 
了 X Window, 删 除 xserver 文件 才 会 有 效果 。 

注意 : 根据 前 一 章 介 绍 安装 的 服务 器 ,X Window 是 没有 安装 上 的 ,上 面 说 的 那些 文 
件 可 能 不 会 出 现在 /etc/security 目录 下 ,如 果 这 样 就 可 以 不 管 这 一 节 介 绍 的 方法 。 为 了 
禁止 所 有 的 控制 台 访 问 ,包括 程序 和 文件 ,需要 将 /etc/pam. d/ 目录 下 的 所 有 文件 中 包含 
pam_console. so 的 行 加 上 注释 。 

2) TCP_WRAPPERS 

在 默认 情况 下 ,Linux 允许 所 有 的 服务 请 求 。 可 以 用 TCP_WRAPPERS 来 保护 服务 
器 的 安全 ,使 其 免 受 外 部 的 攻击 。 需 要 在 /etc/hosts. deny 文件 中 加 入 “ALL: ALL@ 
ALL,PARANOID” 以 禁止 所 有 计算 机 访问 服务 器 ,然后 在 /etc/hosts. allow 文件 中 一 个 
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一 个 加 入 允许 访问 服务 器 的 计算 机 。 这 种 做 法 是 最 安全 的 。 

TCP_WRAPPERS 是 由 两 个 文件 控制 的 ,依次 是 /etc/hosts. allow 和 /etc/hosts. 
deny。 判 断 是 依次 进行 的 ,如 果 在 /etc/hosts. allow 文件 中 有 匹配 的 项 (daemon、client)， 
那么 允许 访问 。 否 则 ,查看 /etc/hosts. deny, 如 果 找 到 匹配 的 项 ,那么 访问 被 禁止 ,否则 
访问 被 允许 。 

(1) 编辑 hosts. deny 文件 (vi /etc/hosts. deny) 加 入 下 面 这 些 行 。 

coess is denied by default.. 

#Deny access to everyone. 

ALL: MLIQ ALL, PARANOID #Matches any host whose name dpes not match its address, see bellow. 

这 样 做 的 意思 是 所 有 的 服务 .访问 位 置 如 果 没 有 被 明确 地 允许 ,也 就 是 在 /etc/ 
hosts. allow 中 找 不 到 匹配 的 项 ,就 是 被 禁止 的 。 

注意 : 加 上 PARANOID 参数 之 后 ,如 果 要 在 服务 器 上 使 用 telnet 或 ftp 服务 ,就 要 
在 服务 器 的 /etc/hosts 文件 中 加 入 允许 使 用 telnet 和 ftp 服务 的 客户 端 计算 机 的 名 字 和 
IP 地 址 。 否 则 ,在 显示 登录 提示 之 前 ,因为 DNS 的 域名 解析 ,可 能 要 等 上 几 分 钟 时 间 。 

(2) 编辑 hosts. allow 文件 (vi /etc/hosts. allow)。 如 被 授权 访问 的 计算 机 的 IP 地 
址 是 192. 168. 186. 1 ,主机 名 是 gate. test. com, 允许 使 用 的 服务 是 sshd。 那 么 需要 做 如 
下 配置 。 


sshd: 192.168.186.1 gate.test.ccm 


(3) 用 tcpdchk 检查 TCP_WAPPERS 配置 的 程序 。 它 检查 TCP_WAPPERS 的 配 
置 , 并 报告 它 可 以 发 现 的 问题 或 潜在 的 问题 。 在 所 有 的 配置 都 完成 了 之 后 ,运行 tcpdchk 
程序 即 可 。 

[rootQ test]#tcpdchk 


3) 修改 /etc/aliases 文件 
aliases 文件 如 果 管 理 错误 或 管理 不 善 也 会 造成 安全 隐患 。 例 如 ,很 多 的 软件 厂商 都 
把 decode 这 个 别名 放 在 aliases 文件 里 。 这 样 做 是 为 了 方便 通过 E-mail 传送 二 进 制 文 
件 。 在 发 送 邮件 的 时 候 , 用 户 把 二 进 制 文件 用 uuencode 转 成 ASCII 文件 ,然后 把 结果 发 
给 接收 端的 decode。 由 这 个 别名 让 邮件 信息 通过 /usr/bin/uuencode 程序 把 二 进 制 文件 
重新 转换 成 ASCII 文件 。 如 果 人 允许 decode 出 现在 aliases 文件 中 ,可 以 想象 将 会 有 什么 
样 的 安全 隐患 。 所 以 ,把 定义 decode 这 个 别名 的 行 从 aliases 文件 中 删除 。 同 样 地 ,每 一 
会 运行 程序 的 别名 都 要 好 好 查看 一 下 ,很 有 可 能 要 把 它们 删除 掉 。 编 辑 aliases 文件 
(vi /etc/aliases) ,删除 或 注释 掉 下 面 这 些 行 。 


#Basic system al jases 一 these MDST be present. 
MAIUFFR DAEMN: Postmaster 

postmaster: root 

#General redirections for pseudo acoounts. 
bin: root 

Caemn: root 
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#games: Toot //remove or comment ot 
#ingres: root //remove or comment cut 
nobody: root 

#system: root //remove or comment out. 
#toor: root //remove or camment out 
#uucp: root //remove or comment cut 
#Well- known aliases 

#manager: root //remove or comment ot 
#dmper: root //remove or omment out. 
#operator: root //remove or oment cut 


#trap decode to catch security attacks 
#9decode: root 

#Person who should get root's mail 
#root: marc 


修改 完毕 ,要 使 改动 生效 ,还 必须 运行 以 下 程序 。 
[root test]#/usr/bin/newaliases 


4) 使 系统 对 ICMP 包 没 有 响应 

TCP/IP 协议 本 身 有 很 多 的 弱点 ,黑客 可 以 利用 一 些 技 术 , 把 传输 正常 数据 包 的 通道 
用 来 偷偷 地 传送 数据 。 防 止 系统 对 ping 请 求 做 出 响应 ,对 于 网 络 安全 很 有 好 处 ,因为 没 
人 能 够 ping 你 的 服务 器 并 得 到 任何 反应 ,使 系统 把 这 个 危险 减 到 最 小 。 用 下 面 的 命令 阻 
止 ICMP 包 。 


[root test] echo 1> /proc/sys/net/ipvA/iamp echo ignore all 


运行 完 这 个 命令 后 ,系统 对 ping 就 没有 反应 了 。 也 可 以 直接 修改 icmp_echo_ignore 
_all, 将 其 值 设 为 1。 对 ICMP 数据 包 没有 反应 ,至 少 可 以 把 绝 大 多 数 的 入 侵 者 排除 到 系 
统 之 外 ,因为 入侵 者 不 知道 服务 器 在 哪里 。 重 新 恢复 对 ping 的 响应 ,可 以 用 下 面 的 命令 。 


[root@ test] echo 0> /proc/sys/net/ipv4/icm_ echo ignore all 


5) 禁止 IP 原 路 径路 由 

IP 原 路 径路 由 (IP source routing) ,就 是 IP 数据 包 包 含有 目的 地 址 的 详细 路 径 信 
息 ,因为 根据 RFC 1122 规定 ,目的 主机 必须 按 原 路 径 返 回 这 样 的 IP 包 。 如 果 和 人 侵 者 能 
够 伪造 原 路 径路 由 的 信息 包 , 那 么 它 就 能 截取 返回 的 信息 包 , 并 且 欺 骗 用 户 的 计算 机 ,让 
它 觉 得 正在 和 它 交换 信息 的 是 可 以 信任 的 主机 ,这 是 非常 危险 的 ,所 以 需要 禁止 IP 原 路 
径路 由 以 避免 这 个 安全 漏洞 。 不 过 ,在 新 的 Linux 分 发 包 中 ,已 经 将 这 个 漏洞 修补 ,默认 
情况 下 系统 禁止 IP 原 路 径路 由 ,检查 一 下 服务 器 目录 /proc/sys/net/ipv4/conf 下 的 目录 
及 文件 ,如 果 发 现 accept_source_route 文件 里 的 值 为 0 的 话 .说明 系统 已 将 其 禁止 ,否则 
请 将 其 修改 为 0。 

6) 使 TCP SYN Cookie 保护 生效 

“SYN Attack” 是 一 种 拒绝 服务 (DoS) 的 攻击 方式 , 它 会 消耗 掉 系 统 中 几乎 所 有 资 
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源 ,迫使 服务 器 无 法 正常 提供 服务 。 它 是 采用 巨大 的 信息 流 来 消耗 系统 的 资源 ,以 至 于 
服务 器 不 能 够 响应 正常 的 连接 请 求 。 在 网 络 安全 中 ,这 也 是 常见 的 入 侵 手 段 。 在 许多 
Linux 内 核 中 ,syn cookie 是 一 个 可 选项 ,并 没有 使 其 生效 。 想 要 使 其 生效 必须 用 下 面 的 
命令 。 

[root® test]#echo 1> /proc/sys/net/ipvA/tap syncookies 


用 户 可 以 将 这 个 命令 加 入 /etc/rec. d/rc. local 文件 中 ,等 下 次 系统 启动 的 时 候 就 不 必 
重新 输入 了 。 

7) 资源 限制 

限制 用 户 对 系统 资源 的 使 用 ,可 以 避免 拒绝 服务 (如 创建 很 多 进程 、 消 耗 系统 的 内 存 
等 ) 这 种 攻击 方式 。 这 些 限制 必须 在 用 户 登录 之 前 设 定 , 如 可 以 用 下 面 的 方法 对 系统 中 
用 户 加 以 限制 。 

第 一 步 ,编辑 limits. conf 文件 (vi /etc/security/limits. conf) ,加 入 或 改变 下 面 这 

本。 


[a 


* hard core 0 
* hard rss 5000 
x* hard nproc 20 


这 些 行 的 意思 是 core 0 表示 禁止 创建 core 文件 ;nproc 20 把 最 多 进程 数 限制 到 20; 
rss 5000 表示 除了 root 之 外 ,其 他 用 户 都 最 多 只 能 用 5M 内 存 。 上 面 这 些 都 只 对 登录 到 
系统 中 的 用 户 有 效 。 通 过 上 面 这 些 限制 ,就 能 更 好 地 控制 系统 中 用 户 对 进程 ,core 文件 
和 内 存 的 使 用 情况 。 星 号 * * ”表示 的 是 所 有 登录 到 系统 中 的 用 户 。 

第 二 步 , 编 辑 /etc/pam. d/login 文件 ,在 文件 末尾 加 入 下 面 这 一 行 。 


sessicn required /lib/security/pam limits.so 
加 入 这 一 行 后 "/etc/pam. d/login”" 文 件 是 这 样 的 : 


#% PAM-1.0 

auth required /lib/security/pam securetty.so 

auth required /lib/security/pam pwdb.so shadow nullok 

auth required /lib/security/pam nologin.so 

account required /lib/security/pam pwdb.so 

Password required /lib/security/pam cracklib.so 

Password required /lib/security/pam pwdb.so nullok use_authtok md5 shadow 

Session required /lib/security/pam pwdb.so 

Session required /lib/security/pam limits.so 

#sessicn cptional /lib/security/pam console.so 

8) 控制 mount 上 的 文件 系统 

可 以 用 一 些 选项 ,如 noexec、nodev 和 nosuid 来 更 好 地 控制 mount 上 的 文件 系统 ， 
如 /home 和 /tmp。 这 些 都 可 以 在 /etc/fstab 文件 中 设 定 。fstab 文件 包含 了 各 个 文件 系 
统 的 描述 信息 。 可 以 编辑 fstab 文件 (vi/etc/fstab) .并 根据 需要 把 下 面 两 行 : 
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/dev/sdall /bm ext2 defaults 12 
/dev/sda6 /home ext2 defaults 1 2 


改变 成 : 


/dev/sdall /trp ext2 nosuid, nodev, noexec 1 2 
/dev/sda6 /home ext2 nosuid, nodev 1 2 


nodev 表示 不 允许 在 这 个 文件 系统 上 有 字符 或 特殊 的 块 设 备 。nosuid 表示 不 允许 设 
定 文件 的 suid(set-user-identifier) 和 sgid(set-group-identifier) 许 可 位 。noexec 表示 不 允 
许 文 件 系统 上 有 任何 可 执行 的 二 进 制 文件 。 

注意 : 上 面 的 例子 中 ,/dev/sdall mount 到 /tmp 目 录 上 ,而 /dev/sd6 mount 到 
/home 目录 上 。 这 和 实际 情况 会 有 所 不 同 ,主要 取决 于 用 户 是 怎么 分 区 以 及 用 什么 样 的 
硬盘 ,例如 ,IDE 硬盘 是 hda、hdb 等 ,而 SCSI 硬盘 是 sda、sdb 等 。 

9) 保护 rpm 程序 

如 果 在 服务 器 上 用 rpm 命令 安装 完 所 有 需要 的 软件 ,最 好 把 rpm 程序 转移 到 一 个 安 
全 的 地 方 , 如 软盘 或 其 他 安全 的 地 方 。 这 样 如 果 入 侵 者 侵入 了 服务 器 ,他 也 不 能 用 rpm 
命令 安装 那些 有 害 的 软件 。 如 果 将 来 还 要 用 rpm 安装 新 的 软件 ,只 要 把 rpm 程序 拷 回 原 
来 的 目录 就 可 以 了 。 用 下 面 的 命令 来 处 理 rpm 程序 。 

[root® test]#mount /aew/fao /mt/flogpy/ 

[root@ test]#m /bin/rpm /mt/floppy/ 

[root test]#umount /mt/floppy 

注意 : 千 万 不 要 把 rpm 程序 从 系统 中 印 载 掉 , 否 则 就 不 能 重新 安装 它 。 因 为 安装 
rpm 程序 或 其 他 软件 包 本 身 就 要 用 rpm 命令 。 还 有 一 点 要 注意 的 是 ,把 rpm 命令 的 访问 
许可 从 默认 的 755 改 成 700, 这 样 非 root 用 户 就 不 能 使 用 rpm 命令 了 。 特 别 是 考虑 到 万 
一 在 安装 完 新 软件 之 后 忘 了 把 rpm 程序 移 到 一 个 安全 的 地 方 , 这 样 做 就 更 有 必要 了 。 改 
变 /bin/rpm 程序 的 默认 访问 权限 ,用 下 面 这 个 命令 : 

[root@ test]#chmpd 700 /bin/zem 


10) 保护 登录 SHELL 

为 了 方便 重复 输入 很 长 的 命令 ,bash SHELL 可 以 在 一 /. bash_history 文件 中 默认 
存 500 个 曾经 输入 过 的 命令 。 每 一 个 有 自己 账号 的 用 户 , 在 自己 的 目录 中 ,都 会 有 . bash 
_history 文件 。 可 能 会 有 这 种 情况 ,用 户 在 不 该 输入 密码 的 地 方 输入 了 密码 ,而 输入 的 密 
码 会 在 . bash_history 文件 中 保存 下 来 ,而 且 . bash_history 文件 越 大 这 种 可 能 性 也 越 大 。 
在 /etc/profile 文件 中 HISTFILESIZE 和 HISTSIZE 这 两 行 决定 了 系统 中 所 有 用 户 的 
. bash_history 文件 可 以 保存 多 少 命令 .建议 把 /etc/profile 文件 中 的 HISTFILESIZE 和 
HISTSIZE 都 设 成 一 个 比较 小 的 值 ,编辑 profile 文件 (vi /etc/profile) ,把 这 些 行 改 成 : 

HISTEFITESIZE= 20 

HISTSIZE= 20 


这 样 每 个 用 户 目 录 下 的 . bash_history 就 最 多 只 能 存 20 个 命令 。 如 果 入 侵 者 试图 在 
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用 户 的 一 /. bash_history 文件 中 发 现 一 些 密码 ,就 没有 什么 机 会 了 。 

11) 使 Control-Alt-Delete 关机 键 无 效 

把 /etc/inittab 文件 中 的 一 行 注释 掉 可 以 禁止 用 Control-Alt-Delete 关闭 计算 机 。 如 
果 服 务 器 不 是 放 在 一 个 安全 的 地 方 , 这 点 非常 重要 。 编 辑 inittab 文件 (vi /etc/inittab) 把 
这 一 行 ， 

ca:: ctrlaltdel: /sbin/shutdown -t3-r now 

改 为 : 

#ca:: ctrlaltoel: /sbin/shutdown -t3 - now 

用 下 面 的 命令 使 改变 生效 。 

[roote test]#/sbin/init q 


12) 减少 登录 信息 

默认 情况 下 , 当 登 录 装 有 Linux 系统 的 计算 机 时 ,系统 会 告诉 用 户 Linux 发 行 版 的 
名 字 ,版 本 号 .内 核 版 本 和 服务 器 名 称 。 这 样 就 泄露 了 太 多 的 系统 信息 ,最 好 只 显示 一 个 
Login: 的 提示 信息 。 

(1) 编辑 /ect/re. d/rc. local 文 件 , 在 下 面 这 些 行 的 前 面 加 上 *#”。 

#This will overwrite /etc/issue at every boot. So, make any hanges you 

#want to make to /etc/issue here or you will lose them when you reboot. 

#echo "" > /etc/issue 

#echo "$ R" >> /etc/issue 

#echo "Kemel $ (name -r) on $a $ (uname -加 "> > /etc/issue 

# 

#Gp -£ /etc/issue /etc/issue.net 

#echo> > /etc/issue 


(2) 删除 /etc 目录 下 的 issue. net 和 issue 文件 。 


[root@ test]#m-f /etc/issue 

[root@ test]#m-f /etc/issue.net 

注意 ; /etc/issue. net 文件 是 用 户 从 网 络 登 录 计 算 机 时 (如 Telnet\SSH) ,看 到 的 登 
录 提 示 。 同 样 在 /etc 目录 下 还 有 一 个 issue 文件 ,是 用 户 从 本 地 登录 时 看 到 的 提示 。 这 
两 个 文件 都 是 文本 文件 ,可 以 根据 需要 改变 。 但 是 ,如 果 想 删 掉 这 两 个 文件 ,必须 向 上 面 
介绍 的 那样 把 /etc/rc. d/rc. local 脚本 中 的 那些 行 注 释 掉 ,否则 每 次 启动 的 时 候 , 系 统 又 
会 重新 创建 这 两 个 文件 。 

13) 一 些 有 用 的 系统 查看 命令 (如 表 4-2 所 示 ) 
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表 4-2 系统 查看 命令 
命令 功 能 
du 报告 在 层次 目录 结构 (当前 工作 目录 或 指定 目录 起 ) 中 各 目录 占用 的 磁盘 块 数 , 可 用 于 检查 用 
户 对 文件 系统 的 使 用 情况 
df 报告 整个 文件 系统 当前 空间 的 使 用 情况 ,可 用 于 合理 调整 磁盘 空间 的 使 用 和 管理 
检查 当前 系统 中 正在 运行 的 所 有 进程 ,对 于 用 了 大 量 CPU 时 间 的 进程 `. 同 时 运行 了 许多 进程 
Ps 的 用 户 、 运 行 了 很 长 时 间 但 用 了 很 少 CPU 时 间 的 用 户 进程 应 当 深 入 检查 。 还 可 以 查 出 运行 了 
无 限制 循环 的 后 台 进程 的 用 户 或 未 注销 户头 就 关 终 端的 用 户 ( 一 般 发 生 在 直接 连 线 的 终端 ) 
who | 可 以 告诉 系统 管理 员 系 统 中 工作 的 进展 情况 等 许多 信息 ,检查 用 户 的 登录 时 间 和 登录 终端 
当 用 户 试图 使 用 su 命令 进入 系统 用 户 时 ,命令 将 在 /usr/adm/sulog 文件 中 写 一 条 信息 , 若 该 
文件 记录 了 大 量 试图 用 su 进入 root 的 无 效 操作 信息 , 则 表明 了 可 能 有 人 企图 破译 root 密码 
， | 程序 记录 了 无 效 的 登录 企图 。 如 果 无 效 登录 的 次 数 突然 增加 ,表明 可 能 有 人 企图 通过 猜测 合 
login 
录 名 和 密码 
2. 查找 可 疑 迹象 
上 面 讨论 了 一 些 需 要 在 系统 中 检查 并 且 可 能 表明 薄弱 点 或 攻击 ,如 隐藏 文件 .SUID 


和 SGID 文件 以 及 所 有 人 都 可 以 写 的 文件 的 迹象 。 还 有 其 他 几 条 途径 可 以 检查 Linux 系 
统 上 的 可 疑 活动 。 

1) 查看 网 卡 状 态 

嗅 探 器 将 网 卡 置 为 混杂 模式 ,这 样 就 可 以 捕获 所 有 经 过 网 卡 的 信息 。 如 果 接 口 在 这 
种 模式 下 运行 ifconfig - a 集合 ,网 卡 会 报告 处 于 PROMISC 状态 。 这 是 一 个 嗅 探 器 正 
在 运行 的 迹象 。 如 果 不 是 由 系统 管理 员 运 行 的 ,说 明 系统 有 遭 到 入 侵 的 可 能 ,需要 对 其 
出 现 的 原因 进行 仔细 调查 。 要 关闭 混杂 模式 ,需要 使 用 如 下 命令 : 

#ifoonfig etho promisc dom 

2) 采用 netstat 命令 检查 系统 

程序 netstat 用 于 显示 在 Linux/Unix 系统 上 哪些 网 络 连 接 被 监听 ,采用 命令 netstat 
- na, 参数 n 告诉 netstat 不 要 解析 主机 地 址 。 


[root@ wg root]#netstat -na 


Proto Recv-Q Send-Q Iocal Podress Eoreign Podress State 

tcp 0 0 0.0.0.0: 3306 0.0.0.0: 关 LISIEN 
tcp 0 0 0.0.0.0: 9005 0.0.0.0: 关 LISIEN 
tcp 0 0 210.29.192.22: 80 0.0.0.0: 关 LISIEN 
tcp 0 0 0.0.0.0: 22 0.0.0.0: 关 LISTIEN 
tcp 0 48 210.29.192.22: 22 192.168.18.32: 2442 ESTABLISHED 
ugp 0 0 0.0.0.0: 514 0.0.0.0: 关 

up 0 0 0.0.0.0: 805 0.0.0.0: 关 

up 0 0 0.0.0.0: 69 0.0.0.0: 关 


. 
: 
: 
| 
| 
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Proto Refcnt Flags Type State 工 Node Path 

unix 2 ac] STREAM LISTENING 1065342 

/trp/ssh XxvOnEmI/agent .11519 

unix 2 Roc ] STRERM IISTENING 3248 /trp/rysql .sock 
unix 2 Poc 1] STRERM IISTENING 3154 /devw/gpmctl 
wmix 2 Poc ] STFEAM IISTENING 3287 /dev/log 
unix 2 ] STRERM OCNNECTED 661315 

unix 2 ] STRERM OCNNECTED 661312 

unix 2 ] STRERM OONNECTED 4917 

unix 2 ] STREAM OCNNECTED 4887 

unix 2 ] STRERM OONNECTED 4114 

unix 2 ] STRERM CONNECTED 4042 


在 本 地 地 址 栏 中 显示 的 地 址 以 本 地 端口 号 结束 ,可 以 使 用 这 个 端口 号 识别 连接 是 向 
内 还 是 向 外 的 。 如 果 本 地 端口 号 是 23, 则 是 一 个 到 telnet 后 台 程序 的 向 内 连接 。 如 果 本 
地 端口 号 是 1035, 并 且 外 部 端口 号 是 23, 则 是 一 个 向 外 的 telnet 连接 。 

从 输出 中 可 以 看 到 ,所 有 带 LISTEN 的 行 都 意味 着 有 一 个 程序 正在 监听 端口 。 只 有 
管理 员 配 置 的 端口 才 应 该 被 监听 ,如 果 发 现 一 个 端口 没有 被 管理 员 所 配置 , 则 应 该 对 系 
统 进 行 详细 检查 ,以 了 解 端口 被 打开 的 原因 。 

3) 采用 lsof 检查 系统 进程 状况 

netstat 的 一 个 问题 是 它 不 能 告诉 你 哪 一 个 进程 打开 端口 。 找 出 哪个 进程 链接 到 了 
特定 端口 将 是 一 项 费力 的 工作 。lsof 解决 了 这 个 问题 ,要 查看 进程 状况 ,采用 命令 lsof， 
具体 如 下 。 


[root@ wg root]#1sof -i 


CMAND PD UER FD TYFE TEVIC SIZE NE NAME 

sshd 3161 root 30 IPv4 3086 TCP * : ssh (LISTFEN) 

xinetd 3173 root Gu IPv4 3108 UDP * : 805 

mysqld 3243 rt 3 Ipr4 34 TCP * : mysql (LISTEN) 

ServerSoc 3255 root 3a IPv4 3260 TCP * : 9005 (LISTEN) 

syslogng 32270 roct 30 IPv4 3286 UDP * : syslog 

httpd 3280 rt 31 IPr4 326 TCP 192.168.111.22: http (LISTEN) 

httpd 4603 nabody 31 IPHA 336 TCP 192.168.111.22: http (LISTEN) 

sshd 11519 root 4 IPv4 1065327 TCP 210.29.192.22: ssh- > 192.168.18.32: 2442 
(ESTABLISHED) 


从 以 上 输出 中 可 以 看 到 ,lsof 列 出 了 所 有 打开 的 端口 以 及 哪个 进程 控制 打开 的 端口 。 
一 定 要 知道 每 一 个 进程 正在 做 什么 以 及 它 为 什么 打开 端口 。 定 期 检查 在 系统 上 运行 的 
进程 列表 ,如 果 发 现 无 法 识别 的 进程 ,需要 进行 深入 的 调查 。 

4) 注意 被 更 改过 的 文件 

有 人 在 人 侵 系 统 后 ,会 试图 更 改 系统 文件 ,以 便 继续 访问 系统 。 这 些 可 以 将 人 侵 者 
引入 系统 的 文件 被 称 为 rootkit ,因为 文件 允许 人 侵 者 继续 获得 对 root 账号 的 访问 。 除 了 
嗅 探 器 程序 外 ,入 侵 者 还 常用 以 下 一 些 二 进 制 的 文件 ,如 ftpd、passwd、inetd、ps、login、 
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ssh 和 netstat 等 。 这 些 文件 可 以 帮助 人 侵 者 维持 访问 的 所 有 可 执行 文件 。 确 定 文件 是 
和 否 被 蔡 换 的 最 佳 方法 是 使 用 密码 校 验 ,最 好 在 构建 系统 时 对 所 有 系统 文件 计算 校 验 和 ， 
并 且 在 为 系统 安装 补丁 程序 时 更 新 校 验 和 。 一 定 要 确保 将 校 验 和 放 在 安全 的 系统 上 ,这 
样 入 侵 者 在 更 改 文件 时 就 无 法 更 改 校 验 和 。 如 果 怀 疑 系统 受到 攻击 , 则 可 以 重新 计算 校 
验 和 进行 比较 。 如 果 发 现 校 验 和 不 同 , 最 好 使 用 安装 介质 中 的 原始 文件 来 进行 替换 。 


3. 掌握 最 新 安全 产品 和 技术 


作为 一 个 系统 管理 员 ,必须 时 刻 跟踪 Linux 安全 技术 的 发 展 动向 ,并 且 适 时 采用 更 
先进 的 Linux 安全 工具 。 目 前 国际 上 有 许多 有 关 Linux 安全 的 研究 和 开发 项 目 ,目前 至 
少 有 三 个 安全 Linux 项 目 已 经 启动 ,每 个 项 目的 目标 都 有 自己 的 侧重 点 。 

(1) 安全 Linux(CSecureLinux): 安全 Linux(www. reseau. nl/securelinux) 项 目的 目 
标 是 提供 一 个 用 于 Internet 服务 器 系统 的 安全 的 Linux 分 发 。 该 项 目 管理 者 正 寻求 在 这 
个 产品 中 集成 强大 的 密码 和 一 些 额外 的 Web 服务 器 功能 。 既 然 它 是 在 美国 之 外 创建 
的 ,人 们 可 望 得 到 改进 的 密码 安全 而 不 会 受到 美国 安全 产品 出 口 法 律 的 限制 。 

(2) BastilleLinux: BastilleLinux(www. bastille-linux. org) 项 目 寻求 在 Linux 环境 
中 建立 一 个 类 似 OpenBSD 的 标准 。 该 项 目 宣称 的 目标 是 为 台式 机 创建 一 个 安全 的 分 
发 ,使 网 络 管理 者 可 以 不 用 担心 用 户 的 安全 。 

(3) 访问 安全 Linux 邮件 列表 : 现在 有 许多 关于 Linux 安全 的 邮件 列表 , 如 
securedistros@nl. linux. org、Kha0s-dev@kha0s. org 等 ,经 常 访 问 这 些 邮件 列表 可 以 得 
到 大 量 的 安全 信息 。 还 有 另 一 个 通用 的 邮件 列表 是 security-audit@ ferret. Imh. ox. ac. 
uk , 它 是 专门 讨论 源 代码 的 安全 审计 的 。 这 个 列表 可 能 与 其 他 的 邮件 列表 有 大 量 的 重 
复 ,但 如 果 想 了 解 源 代码 审计 和 相关 安全 问题 的 话 还 是 很 值得 一 读 的 。 


43 Windows 2000 Server、Wndows 
Server 2008 的 安全 


Windows Server 2003 作为 Microsoft 新 推出 的 服务 器 操作 系统 ,继承 了 Windows 
2000/XP 的 易 用 性 和 稳定 性 ,提供 了 更 高 的 硬件 支持 和 更 加 强大 的 安全 功能 ,是 目前 较 
为 成 熟 的 网 络 操作 系统 。Windows Server 2003 安全 性 相对 于 Windows 2000 等 有 较 大 
的 提高 , 它 改变 了 微软 以 往 的 安全 哲学 体系 , 它 认 为 Windows 2003 操作 系统 默认 就 应 该 
是 安全 的 。 但 是 事实 上 ,虽然 默认 安装 的 Windows 2003 绝对 比 默认 的 安装 Windows 
NT 或 Windows 2000 安全 许多 .但 是 它 还 是 存在 着 一 些 不 足 。 所 以 ,需要 根据 实际 情况 
来 对 Windows Server 2003 进行 全 面 安 全 配置 。 在 系统 投入 正式 使 用 前 ,用 户 应 在 断 开 
网 络 的 情况 下 安装 好 操作 系统 ,并 进行 一 些 设置 .以便 使 系统 更 加 符合 具体 的 安全 环境 
与 安全 需求 。 


43.1 安全 基线 的 配置 
在 配置 Windows Server 2003 的 时 候 , 应 该 确定 安全 需求 策略 ,并 立即 部 署 和 执行 这 
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些 策略 。 实 现 这 一 目的 最 好 的 方法 是 创建 一 个 安全 基线 (security baseline) 。 安 全 基线 
是 文档 和 公认 安全 设置 的 清单 。 在 大 多 数 情况 下 ,安全 基线 会 随 着 服务 器 角色 的 不 同 而 
产生 区 别 。 因 此 ,用 户 最 好 创建 几 个 不 同 的 基线 ,以 便 将 它们 应 用 到 不 同类 型 的 服务 器 
上 。 例 如 ,可 以 为 文件 服务 器 制定 一 个 基线 ,为 域 控制 器 制定 另 一 个 基线 ,并 为 Web 服 
务 器 制定 一 个 和 前 两 者 都 不 同 的 基线 。 

系统 包含 一 个 叫 * 安 全 配置 与 分 析 ” 的 工具 ,这 个 工具 让 用 户 可 以 将 服务 器 的 当前 安 
全 策略 与 模板 文件 中 的 基线 安全 策略 相 比 较 。 用 户 可 以 自行 创建 这 些 模板 或 是 使 用 内 
建 的 安全 模板 。 安 全 模板 是 一 系列 基于 文本 的 INF 文件 ,被 保存 在 %SYSTEMROOT% 
\SECURITY\TEMPLATES 文件 夹 下 。 检 查 或 更 改 这 些 模板 最 简单 的 方法 是 使 用 管理 
控制 台 (MMC)。 在 RUN 提示 下 输入 MMC 命令 后 回 车 打开 控制 台 。 在 控制 台 加 载 后 ， 
选择 添加 /删除 管理 单元 命令 , Windows 就 会 显示 添加 /删除 管理 单元 列表 。 单 击 “ 添 加 ” 
按钮 ,将 会 看 到 所 有 可 用 管理 单元 的 列表 ,如 图 4-1 所 示 。 选 择 安全 模板 管理 单元 ,接着 
依次 单 击 添加 、 关 闭 和 确认 按钮 。 在 安全 模板 管理 单元 加 载 后 ,就 可 以 查看 每 一 个 安全 
模板 了 ,如 图 4-2 所 示 。 在 遍历 控制 台 树 的 时 候 , 会 发 现 每 个 模板 都 模仿 组 策略 的 结构 。 
模板 一 般 以 每 个 模板 的 用 途 来 命名 。 


文件 四 换 作 人 ) 查看 收 豪 兴 0) 窗口 中 帮助 0 
[JIE LE 

和 加 /到 除 管 理 单元 

独立 | 扩展 | 


管理 单元 添加 到 G); [3 投 制 台 根 节点 


Internet 多 song 
名 Internet 验证 服务 CAS) 


本 Active Diret st 域 和 信任 关系 管理 单元 来 管理 Active 


寺 加 .| La 关于 本 时 


xm | 


4-1 添加 安全 基线 


如 果 正 在 安全 配置 一 个 文件 服务 器 ,建议 从 securews 模板 开始 。 在 审查 所 有 的 模板 
设置 时 ,会 发 现 尽管 模板 能 被 用 来 让 服务 器 更 加 安全 ,但 是 不 一 定 能 满足 用 户 的 需求 。 
某 些 安全 设置 可 能 过 于 严格 或 过 于 松散 。 建 议 修改 现 有 的 设置 ,或 创建 一 个 全 新 的 策 
略 。 在 控制 台中 右 击 C:\WINDOWS\ Security\Templates 文件 夹 并 在 目标 菜单 中 选择 
新 建 模板 命令 ,就 可 以 轻 轻松 松 地 创建 一 个 新 的 模板 。 在 创建 了 符合 需求 的 模板 后 , 回 
到 添加 /删除 管理 单元 对 话 框 ,添加 一 个 安全 配置 与 分 析 的 管理 单元 。 在 这 个 管理 单元 
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日 控制 台 根 节点 
白 - 饼 安全 模板 
日 国 cWTIDOWS\security\tenplates 


描述 

放松 用 户 组 的 默认 文件 和 注册 表 权 限 ， 使 之 与 
securede 的 超 集 。 对 Lanllanager 身份 验证 
securews 的 超 集 。 对 Lanllanager 身份 验证 . . . 


将 默认 的 根 目录 权限 运用 于 0S 磁盘 分 区 并 将 
提供 增强 的 域 账户 策略 ， 限 制 Lanllanager 身 
提供 增强 的 本 地 账户 策略 ， 限 制 Lanllan 身份 
全 新 安装 系统 的 默认 安全 设置 


图 -图 -图 -力图 - 转 - 田 ' 田 


4-2 添加 的 安全 模板 格式 


加 载 后 , 右 击 “安全 配置 与 分 析 ” 图 标 , 接 着 在 快捷 菜单 中 选择 “打开 数据 库 ” 命 令 , 然 后 单 
击 “ 打 开 ” 按 钮 ,用 户 可 以 使 用 提供 的 名 称 来 创建 必要 的 数据 库 。 接 着 , 右 击 “安全 配置 与 
分 析 ” 图 标 并 在 快捷 菜单 中 选择 “导入 模板 ”命令 ,将 会 看 到 所 有 可 用 模板 的 列表 ,选择 包 
含 安全 策略 设置 的 模板 并 单 击 打开 。 在 模板 被 导入 后 , 青 次 右 击 “安全 配置 与 分 析 ” 图 标 
并 在 快捷 菜单 中 选择 “现在 就 分 析 计 算 机 ”命令 。Windows 将 会 提示 写 人 错误 日 志 的 位 
置 , 输 入 文件 路 径 后 单 击 * 确 定 ” 按 钮 。 在 这 样 的 情况 下 , Windows 将 比较 服务 器 现 有 安 
全 设置 和 模板 文件 里 的 设置 。 用 户 可 以 通过 “安全 配置 与 分 析 控 制 台 ” 看 到 比较 结果 。 
每 一 条 组 策略 设置 显示 了 现 有 的 设置 和 模板 设置 。 在 检查 完 差异 列表 的 时 候 , 就 是 执行 
基于 模板 安全 策略 的 时 候 了 。 右 击 “ 安 全 配置 与 分 析 ” 图 标 并 从 快捷 菜单 中 选择 “现在 就 
配置 计算 机 ”命令 。 这 一 工具 将 会 立即 修改 计算 机 的 安全 策略 ,从 而 匹配 模板 策略 。 组 
策略 实际 上 是 层次 化 的 ,可 以 被 应 用 到 本 地 计算 机 级 别 、 站 点 级 别 、 域 级 别 和 OU 级 别 。 
当 用 户 实现 基于 模板 的 安全 之 时 ,修改 的 是 计算 机 级 别 的 组 策略 ,其 他 的 组 策略 不 会 受 
到 直接 影响 。 最 终 策略 可 能 会 反映 变化 ,因为 计算 机 策略 设置 被 更 高 级 别 的 策略 所 

下 面 就 详细 介绍 安全 策略 的 配置 ,一 般 可 以 将 安全 配置 策略 设置 分 为 本 地 安全 策略 
设置 和 系统 配置 设置 。 


432 本 地 安全 策略 设置 


本 地 安全 策略 的 设置 通过 一 个 图 形 界面 来 配置 , 它 本 质 上 是 一 个 修改 注册 表 的 前 端 
界面 ,因此 不 需要 再 使 用 regedit 来 修改 参数 ,具体 位 置 可 通过 单 击 “ 控 制 面板 ”一 “管理 
工具 ”一 “本 地 安全 策略 ”找到 这 个 工具 。 这 个 工具 非常 强大 ,提供 了 对 账户 策略 、 本 地 策 
略 、 公 钥 策略 、 软 件 限 制 策 略 等 的 设置 ,如 图 4-3 所 示 。 

Windows 2003 系统 提供 了 一 些 安全 配置 模板 ,可 以 使 用 它们 来 设置 系统 上 的 系统 
配置 .本 地 安全 策略 和 用 户 管理 设置 。 如 果 用 户 对 Windows 2003 系统 有 足够 的 了 解 ,并 
理解 每 一 项 更 改 可 能 给 系统 带 来 的 影响 ,可 以 根据 需要 对 其 进行 设置 ,如 图 4-4 所 示 。 下 
面 先 介绍 一 下 安全 策略 管理 中 最 基本 的 一 些 要 素 , 对 它 的 配置 可 以 通过 相应 栏目 的 属性 
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市 本 地 安全 设置 
文件 四 ”操作 查看 WW) 帮助 0D 


全 汪 | 生 | 四 | 区 | 多 


四 全 审核 第 略 
田 -全 用户 权限 分 配 
由 - 国 安全 选项 


4-3 本 地 安全 策略 管理 器 GUI 


进行 设置 。 


文件 中 操作 和 查看 W) 和 助 0 
生字 | 白 四 | 关 甸 图 | 急 


人 账户 锁定 策略 
日 国 本 地 第 略 
由 -人 国 市 核 策略 
人 用 户 权限 分 配 
安全 选项 


4-4 配置 示例 


(1) 交互 式 登录 : Windows 2003 提供 了 两 种 设置 来 定义 显示 给 用 户 的 登录 信息 , 包 
括 用 户 尝试 登录 时 显示 消息 的 文字 及 主题 ,目的 是 用 于 提醒 登录 用 户 进入 的 域 。 

(2) 关机 时 清理 虚拟 内 存 页 面 交换 文件 : 在 系统 运行 时 ,虚拟 内 存 页 面 交 换文 件 包 
含 重要 的 系统 信息 ,这 些 系统 信息 可 能 会 包括 加 密 的 密 钥 或 密码 散 列 。 所 以 ,最 好 强制 
Windows 2000/2003 在 关机 时 清除 系统 的 页 面 交 换文 件 , 使 用 “关机 时 清理 虚拟 内 存 页 
面 交 换文 件 ”。 

(3) 允许 在 未 登录 前 关闭 系统 : 这 个 选项 需要 禁用 ,用 户 不 应 该 在 没有 登录 时 就 关 


于 人 = 操作 系统 安全 
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(4) 网 络 管理 认证 级 别 : 网 络 认 证 系统 是 允许 Windows 2000/2003 服务 器 与 
Windows 客户 机 一 起 工作 的 认证 系统 。 它 的 认证 模式 比 Windows NT 或 Windows 2000 
认证 系统 要 简单 。 

(5) 对 匿名 连接 的 额外 限制 。 

(6) 软件 限制 策略 : 用 户 可 以 定义 默认 的 安全 级 别 为 Unrestricted (未 限制 ) 或 
Disallowed( 未 同意 ) 。 后 者 是 比较 好 的 安全 级 别 ,但 这 种 限制 过 于 严格 ,有 时 可 能 会 影响 
操作 。 在 运用 时 ,需要 做 一 些 严格 的 测试 。 在 设置 了 默认 级 别 后 ,用 户 可 以 根据 需要 进 
行 修改 ,为 此 创建 针对 具体 的 软件 限制 策略 规定 ,可 以 基于 软件 做 出 下 面 的 例外 规定 。 

(1) 散 列 。 

(2) 证 书 。 

(3) 路 径 ( 包 括 Registry 路 径 ) 。 

(4) Internet 区 。 

软件 限制 策略 的 一 个 工作 示例 如 下 。 

(1) 限制 某 类 文件 在 电子 邮件 程序 的 电子 邮件 附件 目录 里 运行 。 

(2) 限制 某 用 户 可 以 在 终端 服务 器 上 运行 哪些 程序 。 


433 系统 安全 策略 配置 


在 系统 管理 方面 ,主要 讨论 文件 系统 .网 络 系统 .账户 设置 .服务 包 和 补丁 程序 4 个 
领域 。 作 为 一 般 性 的 原则 ,应 该 由 机 构 的 安全 策略 和 系统 配置 要 求 来 控制 特定 的 设置 。 


1. 文件 系统 的 管理 


NTFS 系统 为 一 种 高 级 的 文件 系统 ,提供 了 性 能 、 安 全、 可靠 性 以 及 未 在 任何 FAT 
格式 版 本 中 提供 的 高 级 功能 。 通 过 它 可 以 实现 任意 文件 及 文件 夹 的 加 密 和 权限 设置 (这 
是 最 直观 的 安全 设置 了 ) ,磁盘 配额 和 压缩 等 高 级 功能 。 通 过 它 还 可 以 更 好 地 利用 磁盘 
空间 ,提高 系统 运行 速度 。 自 Windows NT 系统 以 来 ,使 用 NTFS 系统 已 经 逐渐 成 了 一 
种 共识 。NTEFS 文件 系统 随 Microsoft Windows 的 每 个 新 版 本 而 改进 ,而 且 NTFS 的 默 
认 权 限 对 于 大 多 数组 织 已 足够 。 如 果 用 户 在 安装 时 不 选用 NTFS 系统 ,那么 后 面 的 很 多 
安全 配置 ,如 用 户 权 限 设置 等 都 不 能 实现 。 所 以 ,在 Windows 2003 上 的 文件 系统 默认 设 
置 成 NTFS。NTFS 具有 一 些 新 的 个 人 权限 ,如 下 所 示 。 

(1) 遍历 文件 夹 /执行 文件 。 

(2) 列举 文件 夹 /读数 据 。 

(3) 读 属性 / 读 扩展 属性 。 

(4) 创建 文件 / 写 数 据 。 

(5) 创建 文件 夹 /附加 数据 。 

(6) 写 属性 / 写 扩 展 属性 。 

(7) 读 权限 /更 改 权 限 。 

NTFS 文件 系统 随 Microsoft Windows 每 个 新 版 本 的 改进 而 改进 ,而 且 NTFS 的 默 
认 文 件 权 限 对 于 大 多 数 情 况 而 言 已 经 足够 了 。 管 理 员 可 以 在 组 策略 对 象 编辑 器 中 配置 
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文件 系统 安全 设置 。 将 对 默认 文件 系统 安全 设置 的 任何 更 改 部 署 到 大 型 组 织 之 前 ,应 在 
实验 室 环境 中 进行 彻底 的 测试 。 在 某 些 情况 下 ,如 果 改 动 了 文件 权限 , 则 可 能 需要 完全 
重新 构建 受 影响 的 计算 机 系统 。 

如 果 不 打算 使 用 “ 受 限制 的 组 ”功能 阻止 Power Users 组 的 成 员 或 者 打算 启用 “网 络 
访问 : 让 每 个 人 (everyone) 权 限 应 用 于 匿名 用 户 ? 设 置 , 则 需要 应 用 可 选 权 限 。 这 些 权限 
非常 特定 ,它们 将 附加 限制 应 用 于 某 些 可 执行 工具 ,具有 提升 特权 的 恶意 用 户 可 能 使 用 
这 些 工具 来 进一步 破坏 计算 机 或 网 络 。 这 些 更 改 不 会 影响 系统 卷 的 多 个 文件 夹 或 根 ,但 
是 以 该 方式 更 改 权 限 非常 危险 ,这 样 常常 导致 计算 机 不 稳定 。 在 将 系统 正式 使 用 前 , 系 
统管 理 员 需 要 了 解 最 新 的 权限 并 查看 关于 文件 和 目录 的 权限 结构 ,应 该 使 用 用 户 组 来 设 
置 文件 和 共享 资源 的 权限 ,这 样 可 以 更 容易 地 管理 文件 的 权限 。 

NTFS 分 区 支持 文件 级 和 文件 夹 级 的 ACL ,文件 分 配 表 (FAT) 或 FAT32 文件 系统 
不 支持 ACL。FAT32 是 FAT 文件 系统 的 一 个 版 本 ,已 更 新 为 允许 相当 小 的 默认 群集 大 
小 ,并 支持 大 于 2G 的 硬盘 。 要 转换 成 NTFS 格式 可 以 使 用 NTFS 格式 化 每 台 服 务 器 上 
的 所 有 分 区 。 使 用 转换 实用 程序 将 FAT 分 区 转换 为 NTFS 时 应 格外 小 心 ,转换 实用 程 
序 会 将 转换 的 驱动 器 的 ACL 设置 为 "Everyone: 完全 控制 ”。 


2. 网 络 系统 的 管理 


与 Windows NT 相 比 , Windows 2000/2003 的 网 络 有 了 较 大 的 变化 ,除了 标准 的 
Windows 端口 (135、137 和 139) 外 ,还 增加 了 用 于 Kerberos 的 端口 88、 用 于 IP 上 的 
SMB 的 端口 445、 用 于 Kerberos Kpasswd 的 端口 464 以 及 用 于 Internet 密 钥 交换 的 端 
口 500。 这 样 , 当 用 户 希 望 从 系统 中 删除 NetBIOS 时 , 则 实际 上 必须 禁止 使 用 特定 端口 
上 的 Microsoft 网 络 文件 和 打开 共享 。 在 Windows 2000/2003 维护 着 一 个 集中 控制 的 用 
户 数据 库 ,活动 目录 结构 使 用 了 分 层 的 概念 ,可 以 在 其 他 组 之 上 或 之 下 创建 组 ,可 以 将 域 
分 为 具有 本 地 控制 的 机 构 单 位 。 


3. 账户 设置 与 管理 


在 Windows 2003 系统 中 ,用 户 管理 对 于 系统 和 机 构 的 安全 至 关 重 要 。 在 机 构 内 部 ， 
应 该 确定 每 个 新 用 户 应 具有 的 正确 权限 的 正确 程序 。 当 发 生 人 员 变 动 时 ,应 该 具有 保证 
员工 不 再 能 够 访问 本 系统 的 程序 。 向 系统 中 添加 新 用 户 时 ,一 定 要 按照 用 户 管理 的 过 程 
进行 。 新 用 户 要 通过 用 户 管理 器 添加 到 系统 或 者 域 中 。 和 Linux 系统 一 样 , 每 个 用 户 都 
应 该 有 一 个 唯一 的 用 户 ID 及 他 们 自己 的 账户 。 如 果 两 个 用 户 需 要 相同 的 访问 , 则 应 该 
创建 两 个 账户 并 将 其 放 入 同一 个 组 。 在 任何 情况 下 都 不 应 该 让 多 个 用 户 使 用 相同 的 用 
户 ID。 在 用 户 设置 结束 后 ,需要 设 定 初始 密码 ,并 且 应 该 选 定 “用 户 下 次 登录 时 须 更 改 密 
码 ” 复 选 框 ,如 图 4-5 所 示 。 在 创建 了 账户 之 后 ,必须 将 其 添加 到 相应 的 组 中 ,可 以 加 入 每 
一 个 单独 的 组 ,但 标准 的 用 户 账户 不 应 该 是 Administrator 组 的 成 员 。 

与 向 系统 中 添加 用 户 一 样 , 在 删除 用 户 时 ,管理 员 也 必须 按照 用 户 管理 过 程 来 进行 。 
当 用 户 脱离 机 构 时 ,应 该 立即 禁用 用 户 的 账户 ,同时 将 其 密码 更 改 为 完全 随机 的 密码 ,这 
样 可 以 防止 该 用 户 或 其 他 人 使 用 这 个 账户 。 如 果 用 户 拥有 相应 的 文件 和 目录 ,应 保持 这 
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图 4-5 用 户 的 添加 与 删除 


个 账户 被 禁用 一 段 时 间 , 以 便 相 应 的 部 门 有 足够 的 时 间 来 处 理 这 些 文件 。 处 理 完 毕 后 ， 
可 以 将 这 个 用 户 及 其 文件 目录 进行 删除 。Windows Server 2003 具有 大 量 不 能 删除 但 可 
重 命名 的 内 置 用 户 账户 。Windows Server 2003 中 的 两 个 最 为 人 熟知 的 内 置 账户 为 
Guest 和 Administrator。 默 认 情 况 下 ,Guest 账户 在 成 员 服务 器 和 域 控制 器 上 被 禁用 。 
此 配置 不 可 更 改 。 许 多 恶意 代码 的 变种 在 初次 尝试 破坏 服务 器 时 使 用 内 置 
Administrator 账户 。 因 此 , 重 命名 内 置 Administrator 账户 和 更 改 描述 有 助 于 防止 试图 
使 用 此 知名 账户 的 攻击 者 对 远程 服务 器 进行 破坏 。 近 几 年 来 ,进行 上 述 重 命名 配置 的 意 
义 已 经 大 大 降低 了 ,因为 出 现 了 很 多 新 的 攻击 工具 ,这 些 工具 通过 指定 内 置 
Administrator 账户 的 安全 标识 符 (SID) 来 确定 该 账户 的 真实 姓名 ,从 而 侵入 服务 器 。 
SID 是 用 来 唯一 标识 网 络 上 的 每 个 用 户 ,用户 组 .计算 机 账户 和 登录 会 话 的 值 。 此 内 置 账 
户 的 SID 是 不 可 更 改 的 。 不 过 ,如 果 使 用 独特 的 名 称 来 重 命名 Administrator 账户 ,其 所 
在 的 操作 组 就 可 以 轻松 监视 针对 该 Administrator 账户 所 进行 的 攻击 尝试 。 完 成 下 列 步 
又 可 保护 域 和 服务 器 上 众所周知 的 账户 。 

(1) 在 每 个 域 和 服务 器 上 , 重 命名 Administrator 和 Guest 账户 ,然后 将 其 密码 更 改 
为 长 而 复杂 的 值 。 

(2) 在 每 个 服务 器 上 使 用 不 同 的 名 称 和 密码 。 如 果 所 有 域 和 服务 器 使 用 同一 个 账户 
名 和 密码 , 则 取得 其 中 一 台 成 员 服 务 器 访问 权 的 攻击 者 就 可 以 用 相同 的 账户 名 和 密码 取 
得 所 有 其 他 域 和 服务 器 的 访问 权 。 

(3) 将 账户 描述 更 改 为 不 同 于 默认 描述 的 内 容 , 从 而 避免 使 用 简单 的 账户 标识 。 

(4) 将 所 做 的 任何 更 改 记录 在 安全 位 置 。 

注意 : 内 置 Administrator 账户 可 通过 组 策略 重 命名 。 此 设置 不 在 基准 策略 中 实施 ， 
因为 每 个 组 织 都 应 为 此 账户 选择 一 个 独特 的 名 称 。 
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账户 策略 包括 密码 策略 、 账 户 锁 定 策略 和 Kerberos 策略 安全 设置 。 密 码 策略 提供 了 
一 种 方法 来 设置 高 安全 环境 的 复杂 性 和 更 改 计划 。 上 账户 锁定 策略 允许 跟踪 失败 的 密码 
登录 尝试 以 便 在 必要 时 启动 账户 锁定 。Kerberos 策略 用 于 域 用 户 账 户 , 并 确定 与 
Kerberos 身份 验证 协议 相关 的 设置 ,如 票证 使 用 期 限 和 强制 。 

1) 密码 策略 

定期 更 改 的 复杂 密码 可 以 有 效 降低 密码 攻击 成 功 的 可 能 性 。 如 图 4-6 所 示 , 密 码 策 
略 设置 控制 密码 的 复杂 性 和 使 用 期 限 。 利 用 在 组 策略 对 象 编辑 器 中 对 以 下 位 置 中 的 密 
码 策 略 设置 进行 配置 。 


向 本 地 安全 设置 
文件 四 ”操作 由) 查看 史 。 帮助 0) 
所 史 | 斩 | 四 | 义 晕 图 | 和 


图 
人 账户 锁定 策略 
国 本 地 策略 


强制 记 码 历史 
用 可 还 原 的 加 密 来 依存 密码 己 葡 用 


图 4-6 使 用 本 地 安全 设置 密码 策略 


(1) 强制 密码 历史 : 它 有 助 于 确保 旧 密 码 不 会 连续 重新 使 用 .常见 的 漏洞 与 密码 重 
新 使 用 相关 联 以 及 低 值 设 置 将 允许 用 户 持续 循环 使 用 数目 很 小 的 密码 。 此 外 ,对 于 包括 
旧 客 户 端的 环境 ,此 建议 没有 已 知 问题 。 要 增强 此 策略 设置 的 有 效 性 ,也 可 以 配置 “密码 
最 短 使 用 期 限 ” 设 置 以 便 密码 无 法 被 立即 更 改 。 这 种 组 合 使 得 用 户 很 难 重 新 使 用 旧 密 
码 ,无 论 是 偶然 还 是 有 意 。 

(2) 密码 最 长 使 用 期 限 : 默认 值 为 42 天 。 定 期 更 改 密码 有 助 于 防止 密码 遭 破 坏 。 
若 攻击 者 有 足够 的 时 间 和 计算 功能 ,就 能 够 破解 大 多 数 密码 。 密 码 更 改 越 频繁 ,攻击 者 
破解 密码 的 时 间 就 越 少 。 

(3) 密码 最 短 使 用 期 限 : 默认 值 为 1 天 。 如 果 将 此 设置 与 “强制 密码 历史 ”设置 中 的 
类 似 低 值 相 结合 使 用 时 ,用 户 可 以 不 断 循环 使 用 相同 的 密码 。 

(4) 密码 长 度 最 小 值 : 用 来 确保 密码 至 少 具 有 指定 个 数 的 字符 。 此 配置 可 针对 常用 
词典 和 强力 攻击 提供 相当 强 的 防御 功能 。 

(5) 密码 必须 符合 复杂 性 要 求 : 设置 将 检查 所 有 新 密码 以 确保 它们 符合 安全 性 要 
求 。 不 能 对 Windows Server 2003 策略 规则 直接 进行 修改 。 实 际 上 ,可 以 设置 包含 20 个 
或 更 多 字符 的 密码 ,这 样 便于 用 户 记 忆 , 并 且 比 八字 符 的 密码 更 安全 。 因 此 ,Microsoft 
建议 将 “密码 必须 符合 复杂 性 要 求 ”设置 配置 为 “已 启用 ”。 

(6) 用 可 还 原 的 加 密 来 储存 密码 : 设置 确定 操作 系统 是 否 使 用 可 逆 加 密 来 存储 密 
码 。 它 支持 使 用 要 求 用 户 通过 密码 进行 身份 验证 的 协议 的 应 用 程序 。 如 果 启 用 此 设置 , 
会 增加 漏洞 。 建 议 此 设置 配置 为 “已 禁用 ”, 除 非 应 用 程序 要 求 超过 了 保护 密码 信息 的 


需要 。 
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2) 账户 锁定 策略 

账户 锁定 策略 指定 时 间 段 内 多 次 登录 尝试 失败 后 锁定 用 户 账户 。 人 允许 尝试 的 次 数 
和 时 间 段 基于 为 策略 配置 的 值 。Windows Server 2003 可 跟踪 登录 尝试 ,而 且 服务 器 软 
件 可 以 配置 为 通过 在 预 设 的 登录 失败 次 数 后 禁用 账户 来 对 潜在 攻击 做 出 响应 。 这 些 策 
略 设置 有 助 于 保护 用 户 密码 ,防止 攻击 者 猜 出 密码 ,因此 降低 了 网 络 攻 击 成 功 的 可 能 性 。 
用 户 可 以 使 用 组 策略 对 象 编辑 器 在 下 列 位 置 对 域 组 策略 中 的 这 些 设置 进行 配置 。 

(1) 账户 锁定 时 间 : 设置 在 未 锁定 账户 且 用 户 可 以 尝试 再 次 登录 之 前 的 时 间 长 度 。 
如 果 将 “账户 锁定 时 间 ” 值 设置 为 0, 则 账户 将 保持 锁定 直到 管理 员 将 其 解除 锁定 。 

(2) 账户 锁定 阔 值 : 设置 用 户 在 账户 被 锁定 之 前 可 以 尝试 登录 账户 的 次 数 。 要 避免 
锁定 授权 用 户 , 请 将 “账户 锁定 阔 值 ”设置 配置 为 较 高 的 数字 。 

(3) 复位 账户 锁定 计数 器 : 确定 在 "账户 锁定 阔 值 ”复位 为 0 以 及 账户 被 解锁 之 前 所 
必须 经 过 的 时 间 长 度 。 如 果 没 有 复位 账户 锁定 的 策略 设置 ,管理 员 必须 手动 解锁 所 有 账 
户 。 相 反 , 如 果 为 此 设置 配置 了 合理 的 时 间 值 ,用 户 将 会 被 锁定 一 段 固定 的 时 间 , 然 后 所 
有 账户 都 会 自动 解锁 。 

3) 用 户 权 限 分 配 策略 加 重 

用 户 权 限 分 配 向 用 户 和 组 提供 组 织 中 计算 机 的 登录 权限 或 特权 。 登 录 权限 的 一 个 
示例 是 交互 登录 计算 机 的 权限 。 特 权 的 一 个 示例 是 关闭 计算 机 的 权限 。 这 两 种 用 户 权 
限 都 由 管理 员 作为 计算 机 安全 设置 的 一 部 分 分 配给 单个 用 户 或 组 。 可 以 在 Windows 
Server 2003 中 组 策略 对 象 编辑 器 的 以 下 位 置 配置 用 户 权 限 分 配 设置 。 

(1) 从 网 络 访问 此 计算 机 : 此 策略 设置 允许 哪些 用 户 和 组 通过 网 络 连接 到 计算 机 。 
它 是 许多 网 络 协议 所 需 的 ,包括 基于 服务 器 消息 块 (SMB) 的 协议 NetBIOS,、 通 用 
Internet 文件 系统 (CIFS)、HTTP 和 组 件 对 象 模型 十 (COM 十)。 

(2) 以 操作 系统 方式 操作 : 此 策略 设置 进程 是 否 采 用 任何 用 户 的 标识 ,来 获取 对 该 
用 户 被 授权 访问 资源 的 访问 权限 。 通 常 .只 有 低级 别 的 身份 验证 服务 才 需 要 此 用 户 
权限 。 

(3) 调整 进程 的 内 存 配额 : 此 策略 设置 用 户 是 否 可 以 调整 可 用 于 进程 的 最 大 内 存 
量 。 它 对 于 计算 机 优化 非常 有 用 ,但 可 能 会 被 滥用 。 攻 击 者 可 能 会 利用 此 用 户 权限 来 启 
动 DoS 攻击 。 

(4) 允许 在 本 地 登录 : 此 策略 设置 哪些 用 户 可 以 交互 登录 指定 的 计算 机 。 使 用 
Ctrl 十 Alt 十 Del 组 合 键 启动 登录 要 求 用 户 具 有 此 权限 .具有 此 用 户 权 限 的 任何 账户 都 可 
以 用 于 登录 计算 机 的 本 地 控制 台 。 

(5) 通过 终端 服务 允许 登录 : 此 策略 设置 哪些 用 户 或 组 有 权 作 为 终端 服务 客户 端 进 
行 登录 。 

(6) 备份 文件 和 目录 : 此 策略 设置 用 户 是 否 可 以 绕 过 文件 和 目录 权限 来 备份 计算 
机 。 仅 当 应 用 程序 尝试 使 用 备份 实用 程序 (如 NTBACKUP. EXE) 通 过 NTFS 备份 应 用 
程序 接口 进行 访问 时 , 才 会 用 到 它 。 否 则 ,应 为 正常 的 文件 和 目录 权限 。 

(7) 跳 过 遍历 检查 : 此 策略 设置 当 用 户 在 NTFS 文件 系统 或 注册 表 中 浏览 对 象 路 径 
时 是 否 可 以 通过 文件 夹 , 而 不 会 被 检查 是 否 具 有 专门 的 “遍历 文件 夹 " 访 问 权 限 。 用 户 权 
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限 不 允许 用 户 列 出 文件 夹 的 内 容 , 它 只 允许 用 户 遍 历 其 目录 。 

(8) 更 改 系统 时 间 : 此 策略 设置 哪些 用 户 可 以 更 改 计 算 机 内 部 时 钟 上 的 时 间 和 日 
期 。 被 分 配 了 此 用 户 权限 的 用 户 可 以 影响 事件 日 志 的 外 观 , 这 将 由 计算 机 的 内 部 时 钟 打 
上 时 间 戳 。 如 果 计 算 机 的 时 间 被 更 改 , 日 志 将 无 法 反映 事件 发 生 的 实际 时 间 。 

注意 : 本 地 计算 机 和 域 控制 器 上 之 间 的 时 间 差 异 可 能 导致 Kerberos 身份 验证 协议 
发 生 问题 ,这 可 能 使 用 户 无 法 登录 域 或 在 登录 之 后 无 法 获取 授权 来 访问 域 资源 。 

(9) 创建 页 面 文件 : 此 策略 设置 用 户 是 否 可 以 创建 和 更 改 页 面 文件 的 大 小 。 要 执行 
此 任务 ,用 户 必须 在 “性 能 选项 " 框 ( 位 于 “系统 属性 ”对 话 框 的 “高 级 ”选项 卡 上 ) 中 为 特定 
的 驱动 器 指定 页 面 文 件 大 小 。 

(10) 创建 标记 对 象 : 此 策略 设置 进程 是 否 可 以 创建 令 牌 以 及 在 进程 使 用 
NtCreateToken() 或 其 他 令 牌 创建 API 时 ,进程 可 以 使 用 哪个 令 牌 获 取 任 何 本 地 资源 的 
访问 权限 。 

(11) 创建 全 局 对 象 : 此 策略 设置 允许 用 户 创 建 可 供 所 有 会 话 使 用 的 全 局 对 象 。 在 
没有 被 分 配 此 用 户 权 限 的 情况 下 ,用 户 仍 可 以 创建 特定 于 其 自身 会 话 的 对 象 。 

(12) 创建 永久 共享 对 象 : 此 策略 设置 用 户 是 否 可 以 在 对 象 管理 器 中 创建 目录 对 象 ， 
这 意味 着 他 们 可 以 创建 共享 文件 夹 .打印 机 和 其 他 对 象 。 对 于 扩展 对 象 命名 空间 的 内 核 
模式 组 件 , 这 非常 有 用 ,而 且 此 类 组 件 本 来 就 具有 此 用 户 权限 。 因 此 ,通常 不 必要 专门 向 
用 户 分 配 此 用 户 权限 。 

(13) 调试 程序 : 此 策略 设置 哪些 用 户 可 以 将 调试 程序 附加 到 任何 进程 或 内 核 。 它 
提供 对 敏感 和 重要 操作 系统 组 件 的 完全 访问 权限 。 不 要 在 生产 环境 中 调试 程序 ,除非 是 
在 极端 情况 下 ,例如 ,需要 对 测试 环境 中 不 能 高 效 访问 的 业务 关键 型 应 用 程序 进行 故障 

(14) 拒绝 从 网 络 访问 这 人 台 计 算 机 : 此 策略 设置 哪些 用 户 将 不 能 通过 网 络 来 访问 计 
算 机 。 它 拒绝 许多 网 络 协 议 , 包 括 基 于 SMB 的 协议 ,NetBIOS、CIFS、.HTTP 和 COM 十 。 
当 用 户 账户 受 这 两 种 设置 的 约束 时 ,此 策略 设置 将 取代 * 从 网 络 访问 此 计算 机 ?用户 
权限 。 

(15) 拒绝 作为 批 处 理 作 业 登 录 : 此 策略 设置 哪些 账户 无 法 作为 批 处 理 作 业 登 录 计 
算 机 。 批 处 理 作业 不 是 批 处 理 (. bat) 文 件 ,而 是 批 处 理 队列 工具 。 使 用 任务 计划 程序 安 
排 作业 的 账户 需要 此 用 户 权 限 。“ 拒 绝 作 为 批 处 理 作业 登录 ”用 户 权 限 会 覆盖 “作为 批 处 
理 作业 登录 ”用 户 权限 ,后 者 可 用 于 允许 账户 安排 会 过 度 消 耗 系统 资源 的 作业 。 这 种 情 
况 出 现 一 次 就 会 导致 DoS 条 件 。 

(16) 拒绝 作为 服务 登录 : 此 策略 设置 是 否 可 以 在 指定 账户 的 上 下 文中 启动 服务 。 

(17) 拒绝 本 地 登录 : 此 策略 设置 用 户 是 否 可 以 从 计算 机 直接 登录 。 

(18) 通过 终端 服务 拒绝 登录 : 此 策略 设置 用 户 是 否 可 以 作为 终端 服务 客户 端 进行 
登录 。 在 基准 成 员 服务 器 加 入 到 域 环 境 后 ,不必 使 用 本 地 账户 从 网 络 访问 服务 器 。 域 账 
户 可 以 访问 服务 器 ,以 便 执行 管理 和 最 终 用 户 进程 。 

(19) 允许 计算 机 和 用 户 账户 被 信任 以 便 用 于 委任 : 此 策略 设置 用 户 是 否 可 以 更 改 
Active Directory 中 用 户 或 计算 机 对 象 上 的 “已 为 委派 信任 ”设置 。 被 分 配 了 此 用 户 权限 
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的 用 户 或 计算 机 还 必须 具有 对 象 上 账户 控制 标记 的 写 和 人 访问 权限 。 滥 用 此 用 户 权限 可 
能 导致 对 网 络 上 其 他 用 户 的 未 经 授权 模拟 。 

(20) 从 远程 系统 强制 关机 : 此 策略 设置 用 户 是 否 可 以 从 网 络 上 的 远程 位 置 关 闭 计 
算 机 。 可 以 关闭 计算 机 的 任何 用 户 均 会 造成 DoS 条 件 。 因 此 ,此 用 户 权限 应 严格 限制 。 

(21) 生成 安全 审核 : 此 策略 设置 进程 是 否 可 以 在 安全 日 志 中 生成 审核 记录 。 因 为 
安全 日 志 可 用 于 跟踪 未 经 授权 的 访问 ,攻击 者 可 能 使 用 可 以 写 入 至 安全 日 志 的 账户 ,将 
日 志 填 满 毫 无 意义 的 事件 。 如 果 将 计算 机 配置 为 根据 需要 覆盖 事件 ,攻击 者 可 能 使 用 此 
功能 将 他 们 的 未 经 授权 活动 的 证 据 删 除 。 如 果 将 计算 机 配置 为 在 不 能 写 人 至 安全 日 志 
时 关闭 , 则 攻击 者 可 能 使 用 此 功能 创建 DoS 条 件 。 

(22) 身份 验证 后 模拟 客户 端 : 此 策略 设置 代表 经 过 身份 验证 的 用 户 运行 的 应 用 程 
序 是 否 可 以 模拟 客户 端 。 如 果 此 类 型 的 模拟 需要 此 用 户 权限 , 则 未 经 授权 的 用 户 将 无 法 
说 服 客户 端 ( 如 通过 远程 过 程 调用 (RPC) 或 命名 管道 ) 连 接 到 他 们 创建 以 模拟 该 客户 端 
的 服务 。 未 经 授权 的 用 户 可 以 使 用 此 功能 将 其 权限 提升 为 管理 或 系统 级 别 。 

(23) 增加 计划 优先 级 : 此 策略 设置 用 户 是 否 可 以 提高 进程 的 基本 优先 级 。 在 优先 
级 内 提高 相对 优先 级 不 是 一 个 特权 操作 。 随 操作 系统 附带 的 管理 工具 不 需要 此 用 户 权 
限 ,但 软件 开发 工具 可 能 需要 。 被 分 配 了 此 用 户 权 限 的 用 户 可 以 将 进程 的 调度 优先 级 提 
升 至 * 实 时”, 为 其 他 所 有 进程 留 下 很 少 的 处 理 时 间 , 从 而 导致 DoS 条 件 。 

(24) 装载 和 务 载 设备 驱动 程序 : 此 策略 设置 哪些 用 户 可 以 动态 加 载 和 印 载 设备 驱 
动 程序 。 如 果 新 硬件 的 已 签名 驱动 程序 已 经 存在 于 计算 机 的 Driver. cab 文件 中 , 则 不 需 
要 此 用 户 权 限 。 设 备 驱动 程序 可 以 作为 高 特权 代码 运行 。 被 分 配 了 ”装载 和 伸 载 设备 驱 
动 程序 ”用 户 权限 的 用 户 可 以 安装 恶意 代码 ,该 恶意 代码 会 伪装 成 设备 驱动 程序 。 管 理 
员 应 格外 小 心 , 仅 安装 具有 经 过 验证 的 数字 签名 的 驱动 程序 。 

(25) 内 存 中 锁定 页 面 : 此 策略 设置 进程 是 否 可 以 将 数据 保留 在 物理 内 存 中 ,这 将 阻 
止 计算 机 将 数据 分 页 至 磁盘 上 的 虚拟 内 存 。 这 种 情况 可 能 显著 降低 性 能 。 被 分 配 了 此 
用 户 权限 的 用 户 可 以 将 物理 内 存 分 配给 几 个 进程 ,为 其 他 进程 留 下 很 少 或 不 留 下 任何 随 
机 存 取 存储 器 (RAM) ,可 能 导致 DoS 条 件 。 

(26) 作为 服务 登录 : 此 策略 设置 安全 主体 是 否 可 以 作为 服务 进行 登录 。 服 务 可 以 
配置 为 在 Local System、Local Service 或 Network Service 账户 下 运行 ,这 些 账户 具有 作 
为 服务 进行 登录 的 内 置 权限 。 必 须 向 在 单独 用 户 账 户 下 运行 的 任何 服务 分 配 此 用 户 
权限 。 

(27) 管理 审核 和 安全 日 志 : 此 策略 设置 用 户 是 否 可 以 为 文件 .Active Directory 对 象 
和 注册 表 项 等 个 别 资源 指定 对 象 访问 审核 选项 。 此 用 户 权限 非常 强大 ,应 严密 防护 。 具 
有 此 用 户 权 限 的 任何 用 户 都 可 以 清除 安全 日 志 ,并 可 能 清除 未 经 授权 活动 的 重要 证 据 。 

(28) 修改 固件 环境 值 : 此 策略 设置 进程 是 否 可 以 通过 API 或 者 用 户 是 否 可 以 通过 
“系统 属性 ”更 改 计算 机 的 环境 变量 。 被 分 配 了 此 用 户 权限 的 任何 用 户 均 可 以 配置 硬件 
组 件 的 设置 ,造成 硬件 组 件 故 障 , 从 而 导致 数据 损坏 或 DoS 条 件 。 

(29) 执行 卷 维 护 任务 : 此 策略 设置 非 管理 或 远程 用 户 是 否 可 以 管理 卷 或 磁盘 。 被 
分 配 了 此 用 户 权限 的 用 户 可 以 删除 卷 , 造 成 数据 丢失 或 DoS 条 件 。 
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(30) 配置 单一 进程 : 此 策略 设置 哪些 用 户 可 以 使 用 性 能 监视 工具 来 监视 非 系 统 进 
程 的 性 能 。 此 用 户 权限 表示 适中 的 漏洞 ,具有 此 权限 的 攻击 者 可 以 监视 计算 机 的 性 能 ， 
从 而 帮助 确定 他 们 想 要 直接 攻击 的 重要 进程 。 攻 击 者 还 可 以 确定 计算 机 上 运行 的 进程 ， 
以 便 识 别 要 避免 的 对 策 ( 如 防 病毒 软件 .人 侵 检 测 系统 或 其 他 已 登录 计算 机 的 用 户 ) 。 

(31) 配置 系统 性 能 : 此 策略 设置 类 似 于 前 一 设置 。 它 确定 用 户 是 否 可 以 监视 系统 
进程 的 性 能 。 此 用 户 权 限 表 示 适 中 的 漏洞 ,具有 此 特权 的 攻击 者 可 以 监视 计算 机 的 性 能 
以 帮助 确定 他 们 想 要 直接 攻击 的 重要 进程 。 攻 击 者 还 可 以 确定 计算 机 上 和 运行 的 进程 ,以 
便 识 别 要 避免 的 对 策 ( 如 防 病毒 软件 或 入侵 检测 系统 ) 。 

(32) 从 扩展 坞 中 取出 计算 机 : 此 策略 设置 便携 式 计算 机 的 用 户 是 否 可 以 通过 单 击 
“开始 "菜单 上 的 “弹出 PC? 来 移 除 计算 机 。 被 分 配 了 此 用 户 权限 的 任何 用 户 均 可 以 从 扩 
展 坞 中 取出 便携 式 计算 机 。 

(33) 替换 进程 级 别 标记 : 此 策略 设置 父 进 程 是 否 可 以 蔡 换 与 子 进程 相关 联 的 访问 
令 牌 。 
(34) 还 原文 件 和 目录 : 此 策略 设置 哪些 用 户 在 他 们 还 原 备份 的 文件 和 目录 时 可 以 
绕 过 文件 .目录 ,注册 表 和 其 他 永久 对 象 权限 。 它 还 确定 哪些 用 户 可 以 将 任何 有 效 的 安 
全 主体 设置 为 对 象 的 所 有 者 。 

(35) 关闭 系统 : 此 策略 设置 哪些 本 地 登录 的 用 户 可 以 使 用 “关闭 ”命令 来 关闭 操作 
系统 。 由 于 滥用 此 功能 可 能 导致 DoS 条 件 , 因 此 ,关闭 域 控制 器 的 能 力 应 限制 于 极 少数 
的 受信 任 管理 员 。 即 使 关闭 系统 要 求 有 登录 到 服务 器 的 权限 ,也 应 谨慎 处 理 允许 关闭 域 
控制 器 的 账户 和 组 。 

(36) 同步 目录 服务 数据 : 此 策略 设置 进程 是 否 可 以 读 取 目 录 中 的 所 有 对 象 和 属性 ， 
而 不 管 对 象 和 属性 是 否 受 到 保护 。 使 用 LDAP 目录 同步 (Dirsync) 服 务 时 需要 此 用 户 
权限 。 

(37) 取得 文件 或 其 他 对 象 的 所 有 权 : 此 策略 设置 用 户 是 否 可 以 取得 网 络 中 任何 安 
全 对 象 的 所 有 权 , 包 括 Active Directory 对 象 .NTFS 文件 系统 (NTFS) 文件 ,文件 夹 . 打 
印 机 ,注册 表 项 、 服 务 、 进 程 以 及 线程 等 。 

4) Kerberos 策略 

Kerberos 策略 用 于 域 用 户 账户 。 这 些 策略 确定 与 Kerberos v5 身份 验证 协议 相关 的 
设置 ,如 票证 使 用 期 限 和 强制 。Kerberos 策略 在 本 地 计算 机 策略 中 不 存在 。 如 果 减 少 
Kerberos 票证 的 使 用 期 限 ,那么 攻击 者 尝试 窃取 密码 以 模拟 合法 用 户 账户 的 风险 将 降 
低 。 但是, 这些 策 略 的 维护 需求 将 增加 授权 开销 。 在 大 多 数 环境 中 ,不 应 更 改 这 些 策略 
的 默认 值 。Kerberos 设置 被 包括 在 默认 域 策略 中 并 在 该 策略 中 强制 实施 。 


4. 服务 包 和 补丁 程序 


有 些 网 络 已 经 具备 了 良好 的 边界 安全 措施 ,也 普遍 部 署 了 病毒 防御 机 制 。 但 安全 事 
件 , 特 别 是 病毒 的 侵扰 防不胜防 ,一 方面 是 由 于 现 有 防御 体系 的 缺陷 ,是 由 于 现 有 的 边界 
防御 、 基 于 签名 的 入 侵 检测 和 防 病毒 系统 从 原理 上 就 决定 了 其 不 擅长 对 付 基 于 漏洞 进行 
感染 的 病毒 。 单 单 具备 这 些 措施 ,还 不 足以 遏制 病毒 的 泛滥 。 另 一 方面 也 是 由 于 基于 漏 
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洞 进行 感染 的 病毒 传播 速度 极 快 ,以 至 于 来 不 及 采取 措施 ,病毒 就 已 经 大 规模 爆发 了 。 
因此 ,对 于 一 个 网 络 而 言 ,制定 一 个 有 效 的 Windows 系统 补丁 管理 措施 ,为 客户 段 即时 
安装 各 种 安全 补丁 和 更 新 可 以 极 大 地 增加 企业 内 部 的 安全 性 。Microsoft 公司 有 时 会 提 
供 一 个 集成 的 补丁 程序 包 , 用 户 可 以 下 载 安装 。 但 更 好 的 方式 是 Microsoft Windows 
Server Update Services(WSUS) 服 务 , 它 为 在 网 络 中 管理 更 新 提供 一 个 全 面 的 解决 方案 。 
WSUS 是 设计 用 来 大 量 精简 IT 系统 在 执行 重大 更 新 时 的 程序 。 通 过 使 用 Windows 
Server 更 新 服务 (WSUS) ,管理 员 可 以 快速 而 可 靠 地 将 Windows 2000 操作 系统 和 更 高 
版 本 Office XP 和 更 高 版 本 、Exchange Server 2003 以 及 SQL Server 2000 的 最 新 关键 更 
新 和 安全 更 新 部 署 到 Windows 2000 和 更 高 版 本 的 操作 系统 中 。Windows 自动 更 新 是 
Windows 的 一 项 功能 , 当 适 用 于 计算 机 的 重要 更 新 发 布 时 , 它 会 及 时 提醒 下 载 和 安装 。 
使 用 自动 更 新 可 以 在 第 一 时 间 更 新 操作 系统 ,修复 系统 漏洞 ,从 而 保护 计算 机 安全 ,防止 
部 分 类 型 的 病毒 攻击 。 


5. 其 他 有 关 的 安全 配置 问题 


1) 终端 服务 的 安全 策略 

在 默认 情况 下 , Windows Server 2003 提供 了 远程 桌面 ,允许 多 达 两 个 的 远程 会 话 。 
此 外 还 有 控制 台 会 话 。 由 于 此 功能 允许 用 户 从 网 络 上 的 任何 客户 机 对 服务 器 进行 远程 
管理 ,因此 ,保证 其 安全 极为 重要 。 为 了 尽 可 能 保证 安全 ,需要 在 终端 服务 配置 管理 单元 
中 的 具体 连接 的 属性 选项 中 进行 设置 。 图 4-7 为 终端 服务 配置 管理 单元 的 界面 。 


[终端 服务 配置 \ 连 接 ] 
文件 @ 损 作 (查看 W) 帮助 0 
中 钞 | 央 | 四 |X 轿 加 | 包 


图 4-7 终端 服务 配置 


(1) 加 密级 别 : 加 密级 别 列举 了 可 以 选择 的 加 密级 别 ,用 来 保护 在 客户 和 服务 器 之 
间 发 送 的 数据 。 其 中 几 个 有 关 加密 的 选择 说 明 如 下 。 

@ 低级 别 : 使 用 56 位 加 密 对 从 客户 端 发 送 至 服务 器 的 数据 进行 加 密 。 从 服务 器 向 
客户 端 发 送 的 数据 不 加 密 。 

@ 客户 端 兼容 : 使 用 客户 端 支持 的 最 强 密 钥 对 客户 端 和 服务 器 之 间 发 送 的 数据 进 
行 加 密 。 当 终端 服务 器 在 包含 混合 或 旧 客 户 端的 环境 中 运行 时 ,请 使 用 此 级 别 。 

@ 高 级 别 : 使 用 128 位 的 密 钥 对 数据 加 密 。 不 支持 这 种 级 别 加 密 的 客户 机 无 法 连 
接 ( 受 推荐 的 加 密级 别 )。 使 用 128 位 加 密 的 设置 选项 可 防止 攻击 者 使 用 数据 包 分 析 程 
序 对 终端 服务 进行 窃听 。 某 些 旧 版 终端 服务 客户 端 不 支持 此 高 级 加 密 。 如 果 网 络 包含 
此 类 客户 端 ,请 设置 连接 加 密级 别 以 使 用 该 客户 端 支持 的 最 高 加 密级 别 发 送 和 接收 
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数据 。 

(2) 登录 设置 : 当 客户 机 连接 到 终端 服务 器 时 ,可 以 在 此 规定 默认 使 用 的 登录 信息 ， 
如 图 4-8 所 示 。 默 认 情 况 下 使 用 客户 机 提供 的 登录 信息 。 其 他 选项 允许 单一 的 用 户 账户 
用 于 所 有 的 连接 。 最 下 面 的 选项 要 求 即使 提供 了 登录 信息 ,用 户 也 必须 输入 密码 。 


确认 究 玛 他 ) I 


厂 总 是 提示 密码 电 ) 


图 4-8 ”Login Settings 选项 卡 


2) NET Framework 配置 

NET Framework Configuration 工具 (如 图 4-9 所 示 ) 的 安全 配置 也 需要 说 明 一 下 ， 
可 以 让 用 户 对 针对 NET Framework 1. 1 设置 代码 访问 安全 策略 。 此 工具 可 以 保护 和 清 
除 安装 在 此 计算 机 上 的 托管 组 件 。 从 安全 的 角度 而 言 ,此 工具 可 以 用 来 控制 应 用 程序 对 
受 保护 资源 的 访问 。 安 全 系统 用 3 种 策略 级 别 来 决定 程序 集 的 权限 。 

企业 项 针对 整个 企业 的 安全 策略 ,计算 机 项 应 用 于 系统 上 运行 的 所 有 代码 ,用 户 项 
应 用 于 当前 登录 的 所 有 用 户 。 这 些 策略 分 别 进行 评估 ,如 组 合 实施 策略 , 则 代码 就 被 授 
予 最 低 的 一 组 权限 。 任 何 deny 权限 都 可 以 覆盖 allow 的 权限 。 

3) 错误 报告 

此 服务 帮助 Microsoft 跟踪 和 解决 错误 。 用 户 可 以 将 此 服务 配置 为 给 操作 系统 错 
误 、Windows 组 件 错误 或 程序 错误 生成 报告 。Error Reporting 服务 可 通过 Internet 将 此 
类 错误 报告 给 Microsoft 或 内 部 文件 共享 。 虽 然 错误 报告 可 能 包含 敏感 或 者 甚至 机 密 的 
数据 ,但 是 关于 错误 报告 的 Microsoft 隐私 策略 将 确保 Microsoft 不 会 滥用 此 类 数据 。 但 
是 ,如 果 以 明文 HTTP 传输 数据 ,第 三 方 就 可 以 在 Internet 上 截取 并 查看 该 数据 。 所 以 ， 
“关闭 Windows 错误 报告 "设置 可 以 控制 错误 报告 服务 是 否 传 输 任何 数据 。 用 户 可 以 使 
用 组 策略 对 象 编辑 器 中 配置 此 策略 设置 。 

4) 启用 手动 内 存 转 储 

Windows Server 2003 包含 一 种 可 用 于 中 止 计算 机 并 生成 Memory. dmp 文件 的 功 
能 。 必 须 明 确 启 用 此 功能 , 它 可 能 并 不 适合 于 组 织 中 的 所 有 服务 器 。 按 照 引用 文件 所 述 
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于 人 = 操作 系统 安全 


公共 语言 运行 库 的 代 玛 访问 安全 系统 确定 程序 集 访 问 受 保护 资源 的 权限 。 授 予 程序 集 的 每 个 
权限 集 都 基于 该 程序 集 的 证 据 (如 URL 或 发 行者 证 书 )， 而 该 证 据 又 基于 可 配置 的 安全 策略 。 


时 Lp 车 要 了 解 有 关 代 码 访问 安全 模型 的 更 多 信息 ， 请 参考 Microsoft ,NET Framework SDK 文 
外 多 代码 组 档 。 
外 型 权限 集 
驶 策略 程序 集 | 以 下 向 导 和 任务 链接 将 帮助 您 设置 和 分 发 安全 策略 。 若 要 完全 控制 安全 策略， 请 使 用 此 节点 
日 矶 计算 机 下 的 树 视图 。 
由 名 代码 组 
田园 权限 入 
钢 视 任务 
日 自用 户 
外 钱 代 玛 组 提高 程序 集 的 信任 级 别 
外 多 权限 集 使 用 "信任 程序 集 “ 向 导 提高 授予 特定 程序 集 的 信任 级 别 。 该 向 导 将 根据 所 选 
直 了 


的 : 
使 用 * 人 "站 改 授予 来 自 特定 区 域 (如 Internet、 本 地 Intranet 或 ' 我 的 
电脑 "的 所 有 程序 集 的 信任 级 别 。 


ji 
使 用 "计算 程序 集 * 向 导 计算 哪些 权限 或 代码 组 适用 于 特定 的 程序 集 。 这 对 于 
确定 当前 安全 策略 对 实际 程序 集 产生 的 影响 非常 有 用 。 


创建 部 署 包 
使 用 "部 署 包 向 导 " 创 建筑 略 部 署 包 。 该 向 导 将 安全 策略 级 别 包装 到 Windows 
lnstaller 包 (.msi 文件 ) 中 ， 然 后 可 以 使 用 ' 组 策略 ' 或 Microsoft Systems 
Management Server 分 发 该 文件 。 


重 置 所 有 第 咯 级 别 
使 用 此 任务 将 安全 策略 重 置 为 默认 设置 。 请 注意 ， 这 将 删除 可 能 已 对 默认 安 
全 策略 进行 的 所 有 修改 。 


4-9 .NET Configuration 工具 


将 内 存 复制 到 磁盘 时 ,敏感 信息 会 被 包括 在 Memory. dmp 文件 中 。 理 想 情 况 下 ,应 禁止 
任何 未 经 授权 的 人 接触 所 有 服务 器 。 如 果 在 其 中 生成 内 存 转 储 文件 的 服务 器 面临 物理 
破坏 的 风险 ,请 确保 在 完成 故障 排除 之 后 删除 转 储 文件 。 

5) 关闭 不 必要 的 服务 

在 系统 上 运行 的 代码 越 多 ,包含 漏洞 的 可 能 性 就 越 大 。 所 以 ,一 个 重要 安全 策略 是 
减少 运行 在 服务 器 上 的 代码 。 这 么 做 能 在 减少 安全 隐患 的 同时 增强 服务 器 的 性 能 。 在 
Windows 2000 中 ,默认 运行 的 服务 有 很 多 ,但 是 有 很 大 一 部 分 服务 在 大 多 数 环境 中 并 派 
不 上 用 场 。 而 在 Windows Server 2003 中 ,微软 关闭 了 大 多 数 不 是 绝对 必要 的 服务 。 即 
使 如 此 ,还 是 有 一 些 有 争议 的 服务 默认 运行 。 其 中 一 个 服务 是 分 布 式 文件 系统 (DFS) 服 
务 。DFS 服务 起 初 被 设计 简化 用 户 的 工作 。DFS 允许 管理 员 创 建 一 个 逻辑 的 区 域 ,包含 
多 个 服务 器 或 分 区 的 资源 。 对 于 用 户 , 所 有 这 些 分 布 式 的 资源 存在 于 一 个 单一 的 文件 夹 
中 。 如 果 不 准备 使 用 DFS. 需 要 让 用 户 了 解 文件 的 确切 路 径 。 在 某 些 环境 下 ,这 可 能 意 
味 着 更 强 的 安全 性 。 另 一 个 这 样 的 服务 是 文件 复制 服务 (FRS)。FRS 被 用 来 在 服务 器 
之 间 复 制 数据 。 它 在 域 控制 器 上 是 强制 的 服务 ,因为 它 能 够 保持 SYSVOL 文件 夹 的 同 
步 。 对 于 成 员 服 务 器 来 说 ,这 个 服务 不 是 必须 的 ,除非 运行 DFS。 如 果 文 件 服务 器 既 不 
是 域 控制 器 ,也 不 使 用 DFS, 建 议 禁 用 FRS 服务 。 这 么 做 会 减少 黑客 在 多 个 服务 器 间 复 
制 恶意 文件 的 可 能 性 。 还 有 一 个 需要 注意 的 服务 是 Print Spooler 服务 。 该 服务 管理 所 
有 的 本 地 和 网 络 打 印 请 求 ,并 在 这 些 请 求 下 控制 所 有 的 打印 工作 。 所 有 的 打印 操作 都 离 
不 开 这 个 服务 , 它 也 是 默认 被 启用 的 。 不 是 每 个 服务 器 都 需要 打印 功能 ,除非 服务 器 的 
角色 是 打印 服务 器 ,应 该 禁用 这 个 服务 。Print Spooler 是 最 危险 的 Windows 组 件 之 一 ， 
有 不 计 其 数 的 木马 蔡 换 其 可 执行 文件 。 这 类 攻击 的 动机 是 因为 它 是 系统 级 的 服务 ,因此 
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拥有 很 高 的 特权 。 因 此 ,任何 侵入 它 的 木马 能 够 获得 这 些 高 级 别 的 特权 。 为 了 防止 此 类 
攻击 ,还 是 要 关 掉 这 个 服务 。 


434 系统 安全 日 常 管理 


在 系统 安装 结束 后 ,系统 将 开始 提供 相应 的 网 络 应 用 服务 。 在 日 常 操作 中 ,管理 员 
的 安全 思想 同样 很 重要 。 系 统管 理 员 在 日 常 工作 中 需要 做 一 些 工作 ,以 提高 发 现 潜在 的 
安全 问题 的 能 力 。 


1. 应 用 secedit 工具 


这 是 Windows 2000/2003 内 置 的 一 个 安全 策略 管理 工具 ,主要 利用 它 来 分 析 正 在 讨 
论 的 系统 策略 并 与 所 提出 的 策略 进行 比较 ,分 析 更 改正 在 讨论 的 系统 策略 ,以 使 其 符合 
所 提出 的 策略 。 可 以 使 用 secedit 对 运行 在 Windows 2000/2003 系统 上 的 现 有 策略 与 系 
统 应 该 使 用 的 策略 进行 比较 ,具体 的 操作 是 在 命令 行 提 示 符 下 输入 以 下 命令 。 

Secedit /analyze [/DB filename]- [/CEG filename ] [/1og filename] [/verbose] [/auiet] 


它 提供 以 下 参数 以 供 选 择 。 

(1) /DB 文件 名 指定 到 达 数 据 库 文件 的 路 径 , 该 数据 库 中 包含 有 分 析 的 存储 配 
置 。 如 果 文 件 名 指定 了 一 个 新 文件 , 则 必须 使 用 /CFG 参数 。 

(2) /CFG 文件 名 ”指定 到 达 安 全 模板 的 路 径 , 该 模板 将 被 导入 数据 库 中 。 如 果 不 
使 用 参数 , 则 使 用 存储 在 数据 库 中 的 配置 。 

(3) /log 文件 名 ”指定 到 达 将 由 该 命令 创建 的 日 志文 件 的 路 径 。 日 志文 件 包 括 在 
分 析 过 程 中 找到 的 所 有 信息 。 

(4) /verbose 告诉 secedit 在 运行 时 提供 详细 情况 。 

(5) /quiet 告诉 secedit 在 运行 时 不 向 屏幕 提供 输出 。 

运行 完成 之 后 ,应 该 分 析 日 志文 件 , 以 确定 系统 是 否 符合 机 构 的 策略 。 另 外 ,secedit 
可 以 用 来 配置 系统 ,用 来 在 系统 中 强制 使 用 特定 的 安全 配置 ,这 个 操作 的 命令 语法 如 下 。 


secedit /configure [/[B filename] [/CEG filename ] [/overwrite] [/areas areal area2...] [/log 
filename] [/verbose] [/quiet] 


它 提供 以 下 参数 以 供 选择 。 

(1) /DB 文件 名 ”指定 包含 要 使 用 模板 的 数据 文件 的 路 径 。 

(2) /CFG 文件 名 ”指定 到 达 一 个 安全 模板 的 路 径 , 可 以 将 该 安全 模板 导入 数据 库 ， 
然后 应 用 于 系统 。 

(3) /overwrite 指定 由 /CFG 命令 标识 的 安全 模板 中 的 策略 覆盖 数据 库 中 的 策略 。 

(4) /areas 指定 将 要 应 用 于 系统 的 模板 的 安全 区 域 。 这 些 区 域 可 以 是 
Securitypolicy\Group_mgmt、User_rights、Regkeys、Filestore Services 等 。 如 果 没 有 指 
定 区 域 , 则 默认 为 所 有 区 域 。 

(5) /log 文件 名 ”指定 到 达 将 由 该 命令 创建 的 日 志文 件 的 路 径 。 
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(6) /verbose 告诉 secedit 在 运行 时 提供 详细 的 情况 。 

(7) /quiet 告诉 secedit 在 运行 时 不 向 屏幕 提供 输入 。 

secedit 还 可 以 验证 一 个 安全 配置 文件 ,这 种 验证 可 以 保证 文件 的 语法 是 正确 的 , 执 
行 这 种 操作 的 命令 如 下 。 

secedit /validate filename 

secedit 也 可 以 向 系统 注入 一 个 安全 策略 , 用 于 确保 系统 使 用 的 是 正确 的 安全 策略 。 
具体 命令 如 下 。 

setedit /refreshpolicy [machine policy or user policy] [/enforce] 

它 可 以 提供 以 下 参数 。 

(1) machine_policy 指定 应 该 刷新 的 用 于 本 地 计算 机 的 安全 策略 。 

(2) user_policy 指定 应 该 刷新 的 当前 登录 到 系统 上 的 本 地 用 户 的 安全 设置 。 

(3) /enforce 指定 即使 没有 改变 也 刷新 的 策略 。 


2. 系统 审核 策略 


管理 员 应 该 创建 审核 策略 以 定义 要 报告 哪些 安全 事件 ,并 记录 指定 事件 类 别 中 的 用 
户 或 计算 机 活动 。 管 理 员 可 以 监视 与 安全 相关 的 活动 ,例如 ,是 谁 访问 了 对 象 ,用 户 是 否 
登录 计算 机 或 从 计算 机 注销 ,或 者 是 否 对 审核 策略 设置 进行 了 更 改 。 在 实施 审核 策略 之 
前 ,必须 确定 环境 所 要 审核 的 事件 类 别 。 管 理 员 为 事件 类 别 选择 的 审核 设置 定义 了 组 织 
的 审核 策略 。 为 特定 事件 类 别 定义 审核 设置 时 ,管理 员 可 以 创建 适合 组 织 的 安全 需要 的 
审核 策略 。 如 果 不 存在 审核 策略 ,就 很 难 确 定安 全 事件 中 所 发 生 的 活动 。 但 是 ,如 果 审 
核 设置 的 配置 导致 许多 授权 活动 都 生成 事件 , 则 安全 日 志 将 被 无 用 的 数据 填 满 。 

通常 ,故障 日 志 所 提供 的 信息 量 比 成 功 日 志 要 大 得 多 ,因为 故障 往往 指示 错误 。 例 
如 ,用 户 成 功 登 录 计 算 机 通常 会 被 视 为 是 正常 的 。 但 是 ,如 果 有 人 尝试 登录 计算 机 失败 
多 次 ,这 可 能 表明 他 尝试 使 用 其 他 人 的 账户 凭据 来 侵入 该 计算 机 。 事 件 日 志 记录 在 计算 
机 上 发 生 的 事件 。 在 Microsoft Windows 2003 操作 系统 中 ,有 适用 于 应 用 程序 .安全 事 
件 和 系统 事件 的 单独 事件 日 志 。 安 全 日 志 记 录 审 核 事 件 。 组 策略 的 事件 日 志 容器 用 于 
定义 与 应 用 程序 安全 和 系统 事件 日 志 有 关 的 属性 ,例如 ,最 大 日 志文 件 大 小 、 对 每 个 日 
志 的 访问 权限 ,以 及 保留 设置 和 方法 。 

在 实施 审核 策略 之 前 ,应 该 确定 它们 将 如 何 收集 、 组 织 和 分 析 数 据 。 如 果 没 有 利用 
计划 ,那么 即使 审核 数据 非常 多 ,也 没有 什么 价值 。 此 外 ,在 审核 计算 机 网 络 时 ,性 能 也 
会 受到 影响 。 设 置 给 定 组 合 的 影响 在 最 终 用 户 计 算 机 上 可 忽略 ,但 是 在 繁忙 的 服务 器 上 
的 影响 就 相当 明显 。 因 此 ,在 用 户 的 应 用 环境 中 部 署 新 的 审核 设置 之 前 ,应 该 测试 性 能 
是 否 将 受到 影响 。 这 些 操作 可 以 在 Windows Server 2003 中 组 策略 对 象 编辑 器 的 以 下 位 
置 配置 审核 策略 设置 值 。 

(1) 审核 账户 登录 事件 : 此 策略 设置 是 否 审核 从 另 一 台 验 证 该 账户 的 计算 机 登录 或 
注销 的 用 户 的 每 个 实例 。 对 域 控 制 器 上 的 域 用 户 账户 进行 身份 验证 将 生成 账户 登录 事 
件 ,该 事件 记录 在 域 控制 器 的 安全 日 志 中 。 对 本 地 计算 机 上 的 本 地 用 户 进 行 身份 验证 将 


188 


Dinats ssnnt 


生成 登录 事件 ,该 事件 记录 在 本 地 安全 日 志 中 。 不 会 记录 任何 账户 注销 事件 。 此 策略 设 
置 记录 在 安全 日 志 中 的 重要 安全 事件 。 如 果 要 创建 自 定义 警报 以 便 监视 任何 软件 包 ( 例 
如 ,Microsoft Operations Manager, MOM) .这 些 事件 ID 就 非常 有 用 。 

(2) 审核 账户 管理 : 此 策略 设置 是 否 对 计算 机 上 的 各 个 账户 管理 事件 进行 审核 。 账 
户 管理 事件 的 示例 包括 创建 、 更 改 或 删除 用 户 账户 或 组 , 重 命名 、 禁 用 或 启用 用 户 账 户 ， 
设置 或 更 改 密码 。 管 理 员 需要 能 够 确定 谁 创建 、 修 改 或 删除 了 域 和 本 地 账户 。 未 授权 的 
更 改 有 可 能 表明 是 由 于 不 了 解 如 何 遵循 组 织 策略 的 管理 员 做 出 的 错误 更 改 , 但 也 可 能 表 
明了 存在 蓄意 攻击 。 例 如 ,账户 管理 失败 事件 往往 表明 低级 别管 理 员 或 者 破坏 低级 别管 
理 员 的 账户 的 攻击 者 企图 提升 其 特权 。 日 志 可 以 帮助 管理 员 确 定 攻击 者 修改 和 创建 了 
哪些 账户 。 此 策略 设置 记录 在 安全 日 志 中 的 重要 安全 事件 。 如 果 要 创建 自 定义 警报 以 
便 监视 任何 软件 包 , 这 些 事件 ID 就 非常 有 用 。 

(3) 审核 登录 事件 : 此 策略 设置 是 否 审核 登录 计算 机 或 从 计算 机 注销 的 用 户 的 每 个 
实例 .“ 审 核 登 录 事件 ”设置 将 在 域 控制 器 上 生成 记录 以 监视 域 账户 活动 ,并 在 本 地 计算 
机 上 生成 记录 以 监视 本 地 账户 活动 。 如 果 将 “审核 登录 事件 ”设置 配置 为 “无 审核 ”那么 
要 确定 组 织 中 哪些 用 户 已 登录 或 尝试 登录 计算 机 就 非常 困难 或 不 可 能 。 如 果 在 域 成 员 
上 启用 "审核 登录 事件 "设置 的 “成 功 ” 值 ,那么 每 当 某 人 登录 网 络 时 均 将 生成 一 个 事件 ， 
而 不 管 账户 在 网 络 上 的 驻 留 位 置 。 如 果 用 户 登录 到 本 地 账户 ,并 且 “ 审 核 账 户 登录 事件 ” 
设置 为 已 启用 ”, 则 用 户 登录 会 生成 两 个 事件 。 如 果 用 户 不 修改 此 策略 设置 的 默认 值 ， 
那么 在 发 生 安全 事件 后 ,就 没有 可 用 的 审核 记录 证 明 。 

(4) 审核 对 象 访问 : 就 其 自身 而 言 , 本 策略 设置 不 会 导致 任何 事件 被 审核 .“ 审 核对 
象 访问 ”设置 在 用 户 访问 具有 指定 的 系统 访问 控制 列表 (SACL) 的 对 象 (例如 ,文件 .文件 
夹 .注册 表 项 或 打印 机 ) 时 是 否 要 审核 事件 。SACL 由 访问 控制 项 (ACE) 组 成 。 每 个 
ACE 包含 三 部 分 信息 : 审核 的 安全 主体 (用 户 ,计算 机 或 组 ) ;要 审核 的 特定 访问 类 型 ( 称 
为 访问 掩 码 ) 以 及 一 个 标记 ,表示 是 审核 失败 的 访问 事件 ,还 是 审核 成 功 的 访问 事件 或 两 
者 全 部 都 进行 审核 。 如 果 将 “审核 对 象 访问 ”设置 配置 为 记录 “成 功 ” 值 ,那么 每 当 用 户 成 
功 使 用 指定 的 SACL 访问 对 象 之 后 ,将 生成 审核 项 。 如 果 将 此 策略 设置 配置 为 记录 “ 失 
败 ” 值 ,那么 每 当 用 户 尝 试 使 用 指定 的 SACL 访问 对 象 失 败 之 后 ,将 生成 审核 项 。 在 配置 
SACL 之 后 ,应 该 只 定义 需要 启用 的 操作 。 例 如 ,用 户 可 能 需要 针对 可 执行 文件 启用 “ 写 
入 和 附加 数据 ?审核 设置 .以 跟踪 它们 何 时 被 更 改 或 蔡 换 ,因为 计算 机 病毒 .蠕虫 和 特 洛 
伊 木马 通常 都 是 以 可 执行 文件 为 目标 的 。 同 样 , 可 能 需要 跟踪 访问 或 更 改 敏感 文档 的 
时 间 。 

(5) 审核 策略 更 改 : 此 策略 设置 是 否 审核 对 用 户 权限 分 配 策略 、 信 任 策略 或 审核 策 
略 自 身 所 做 的 更 改 的 每 个 事件 。 如 果 将 “审核 策略 更 改 * 设 置 为 记录 “成 功 ” 值 ,那么 每 当 
成 功 更 改 用户 权 限 分 配 策略 、 信 任 策略 或 审核 策略 之 后 ,将 生成 一 个 审核 项 。 如 果 将 此 
策略 设置 为 记录 “失败 ? 值 ,那么 每 当 更 改 用 户 权限 分 配 策略 .信任 策 略 或 审核 策略 失败 
之 后 ,将 生成 一 个 审核 项 。 建 议 设 置 允 许 用 户 查 看 攻击 者 试图 提升 的 任何 账户 特权 , 例 
如 ,他 们 尝试 添加 “调试 程序 ”特权 或 “备份 文件 和 目录 ”特权 。 

(6) 审核 特权 使 用 : 此 策略 设置 是 否 要 审核 用 户 权 限 的 各 项 活动 。 如 果 将 “审核 特 


189 


于 人 = 操作 系统 安全 


权 使 用 ”设置 为 记录 “成 功 ” 值 , 则 每 当成 功 执行 用 户 权限 时 ,就 会 生成 一 个 审核 项 。 如 果 
将 此 策略 设置 为 记录 “失败 ” 值 , 则 每 当 执 行 用 户 权限 失败 时 ,就 会 生成 一 个 审核 项 。 执 
行 以 下 用 户 权 限 之 后 不 会 生成 审核 ,即使 用 户 配 置 “ 审 核 特 权 使 用 ”设置 ,因为 这 些 用 户 
权限 将 生成 许多 事件 并 记录 在 安全 日 志 中 。 如 果 审 核 这 些 用 户 权 限 , 就 会 影响 用 户 的 计 
算 机 的 性 能 。 这 些 用 户 权 限 包 括 跳 过 遍历 检查 、 调 试 程序 、 创 建 标 记 对 象 .替换 进程 级 令 
牌 .生成 安全 审核 .备份 文件 和 目录 、 还 原文 件 和 目录 。 

注意 : 如 果 用 户 希 望 审核 这 些 用 户 权 限 , 则 必须 启用 组 策略 中 的 “审核 : 对 备份 和 还 
原 权限 的 使 用 进行 审核 ”安全 选项 。 

(7) 审核 过 程 跟踪 : 此 策略 设置 是 否 审 核 事 件 的 详细 跟踪 信息 ,如 程序 激活 .进程 退 
出 ` 句 柄 复制 和 间接 对 象 访问 等 。 如 果 将 此 策略 设置 为 记录 "成功 ? 值 , 则 每 当 被 跟踪 的 
进程 成 功 时 ,就 会 生成 一 个 审核 项 。 如 果 将 此 策略 设置 为 记录 “失败 ” 值 , 则 每 当 被 跟踪 
的 进程 失败 时 ,就 会 生成 一 个 审核 项 。“ 审 核 过 程 跟踪 ”设置 将 生成 大 量 的 事件 ,因此 , 通 
常 被 配置 为 “无 审核 ,这 种 情况 与 本 指南 定义 的 所 有 三 种 环境 的 基准 策略 中 的 情况 类 
似 。 但 是 ,此 策略 设置 在 事件 响应 期 间 可 能 非常 实用 ,因为 它 提供 有 关 启 动 进程 的 详细 
日 志 以 及 每 个 进程 的 启动 时 间 。 

(8) 审核 系统 事件 : 此 策略 设置 在 用 户 重 新 启动 ,关闭 计算 机 或 者 发 生 影响 计算 机 
的 安全 性 或 安全 日 志 的 事件 时 是 否 需要 审核 。 如 果 用 户 将 此 策略 设置 为 记录 "成功 ” 值 ， 
则 在 系统 事件 成 功 执行 时 ,将 生成 一 个 审核 项 。 如 果 用 户 将 此 策略 设置 为 记录 "失败 ” 
值 , 则 在 尝试 系统 事件 失败 时 ,将 生成 一 个 审核 项 。 下 表 包 括 此 设置 的 最 有 用 的 成 功 
事件 。 


3. 日 志文 件 的 设置 


事件 日 志 记 录 计算 机 上 的 事件 ,而 安全 日 志 记 录 审 核 事 件 。 使 用 组 策略 的 事件 日 志 
容器 来 定义 应 用 程序 .安全 和 系统 事件 日 志 的 属性 ,例如 ,最 大 日 志文 件 大 小 .对 每 个 日 
志 的 访问 权限 以 及 保留 设置 和 方法 。 应 用 程序 .安全 性 和 系统 事件 日 志 的 设置 在 MSBP 
中 配置 ,并 应 用 于 域 中 的 所 有 成 员 服 务 器 。 其 主要 包括 以 下 几 个 方面 。 

(1) 应 用 程序 日 志 大 小 最 大 值 : 此 策略 设置 应 用 程序 事件 日 志 ( 最 大 容量 为 4GB) 大 
小 的 最 大 值 。 然 而 ,不 建议 使 用 此 大 小 ,因为 内 存 碎片 风险 可 导致 性 能 降低 及 事件 日 志 
记录 不 可 靠 。 根 据 平台 功能 及 应 用 程序 相关 事件 历史 记录 的 需要 ,对 应 用 程序 日 志 大 小 
的 要 求 有 所 不 同 。 在 本 书 定义 的 所 有 三 种 环境 的 基准 策略 中 ,“ 应 用 程序 日 志 大 小 最 大 
值 ”设置 被 配置 为 默认 值 16 384KB。 

(2) 安全 日 志 最 大 值 : 此 策略 设置 安全 事件 日 志 ( 最 大 容量 为 ge 
在 域 控 制 器 和 独立 服务 器 上 安全 日 志 的 大 小 应 至 少 配 置 为 80MB, 这 应 该 足以 存储 足够 
的 执行 审核 信息 。 de ee dam te 
频率 、 可 用 磁盘 空间 等 。 在 本 书 定义 的 所 有 三 种 环境 的 基准 策略 中 ,“ 安 全 日 志 最 大 值 ” 
安全 设置 被 配置 为 81 920KB。 

(3) 系统 日 志 大 小 最 大 值 : 该 策略 设置 最 大 的 系统 事件 日 志 , 最 大 容量 超过 4GB 大 
小 。 然 而 ,不 建议 使 用 此 大 小 ,因为 内 存 碎片 风险 可 导致 性 能 降低 及 事件 日 志 记 录 不 可 
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靠 。 对 系统 日 志 大 小 的 要 求 各 不 相同 ,取决 于 平台 功能 和 历史 记录 的 需要 。 在 本 书 定义 
的 所 有 三 种 环境 的 基准 策略 中 ,“ 系 统 日 志 大 小 最 大 值 ” 设 置 被 配置 为 默认 值 16 384KB。 

(4) 限制 本 地 来 宾 组 访问 应 用 程序 日 志 : 此 策略 设置 是 否 拒绝 来 宾 组 访问 应 用 程序 
事件 日 志 。Windows Server 2003 SP1 默认 情况 下 ,在 所 有 计算 机 上 都 禁止 来 宾 组 访问 。 
因此 ,此 策略 设置 对 使 用 默认 配置 的 计算 机 没有 实际 影响 。 但 是 由 于 此 配置 被 视 为 无 负 
面 影响 的 纵深 防御 措施 ,因此 ,在 本 书 定义 的 所 有 三 种 环境 的 基准 策略 中 ,“ 限 制 本 地 来 
宾 组 访问 应 用 程序 日 志 ” 设 置 应 被 配置 为 “已 启用 ”。 

(5) 限制 本 地 来 宾 组 访问 安全 日 志 : 此 策略 设置 是 否 拒绝 来 宾 组 访问 安全 事件 日 
志 。 用 户 必须 被 分 配 了 “管理 审核 和 安全 日 志 ” 用 户 权 限 ( 本 指导 中 未 定义 ) ,才能 访问 安 
全 日 志 。 因 此 ,此 策略 设置 对 使 用 默认 配置 的 计算 机 没有 实际 影响 。 但 是 由 于 此 配置 被 
视 为 无 负面 影响 的 纵深 防御 措施 ,因此 ,在 本 书 定义 的 所 有 三 种 环境 的 基准 策略 中 ,“ 限 
制 本 地 来 宾 组 访问 安全 日 志 " 设 置 被 配置 为 “已 启用 ”。 

(6) 限制 本 地 来 宾 组 访问 系统 日 志 : 此 策略 设置 是 否 拒绝 来 宾 组 访问 系统 事件 日 
志 。 在 Windows Server 2003 SP1 默认 情况 下 ,在 所 有 计算 机 上 都 禁止 来 宾 组 访问 。 因 
此 ,此 策略 设置 对 使 用 默认 配置 的 计算 机 没有 实际 影响 。 但 是 由 于 此 配置 被 视 为 无 负面 
影响 的 纵深 防御 措施 ,因此 ,在 本 书 定义 的 所 有 三 种 环境 的 基准 策略 中 “限制 本 地 来 宾 
组 访问 系统 日 志 ” 设 置 被 配置 为 “已 启用 ”。 

(7) 应 用 程序 日 志保 留 方法 : 此 策略 设置 应 用 程序 日 志 的 包装” 方法。 如果 历 史 事 
件 为 辩论 或 故障 排除 之 所 需 , 则 必须 定期 存档 应 用 程序 日 志 。 如 果 按 需要 覆盖 事件 ,日 
志 将 始终 存储 最 新 的 事件 ,此 配置 会 导致 历史 数据 丢失 。 

(8) 安全 日 志 的 保留 方法 : 该 策略 设置 安全 日 志 的 环绕 方法 。 如 果 历 史 事件 为 辩论 
或 故障 排除 之 所 需 , 则 必须 定期 存档 安全 日 志 。 如 果 按 需要 覆盖 事件 ,日 志 将 始终 存储 
最 新 的 事件 ,此 配置 会 导致 历史 数据 丢失 。 

(9) 系统 日 志保 留 方法 : 该 策略 设置 系统 日 志 的 环绕 方法 。 如 果 历 史 事件 为 故障 排 
除 所 需要 , 则 必须 定期 存档 日 志 。 如 果 按 需要 覆盖 事件 ,日志 将 始终 存储 最 新 的 事件 ,此 
配置 会 导致 历史 数据 丢失 。 


4. 查找 可 疑 迹象 


在 Windows 系统 的 使 用 过 程 中 ,在 设置 了 相应 的 安全 策略 后 ,还 需要 对 系统 的 日 常 
运行 进行 检查 ,及 时 发 现 系统 可 能 存在 的 不 良 攻 击 。 在 进行 系统 检查 时 ,需要 注意 下 面 
几 种 情况 。 

1) 访问 失败 记录 

访问 失败 可 能 表明 授权 用 户 试图 访问 敏感 文件 。 一 次 的 失败 是 无 心 之 过 ,但 如 果 发 
现 一 个 用 户 对 文件 和 目录 拥有 大 量 的 访问 失败 记录 ,就 需要 引起 高 度 警惕 ,查找 原因 。 
在 安全 事件 日 志 中 提供 了 失败 的 记录 , 它 并 不 能 构成 某 人 未 经 授权 就 试图 访问 信息 的 证 
据 。 这 些 日 志 消 息 可 以 由 用 户 不 知道 的 访问 企图 进程 产生 ,也 可 能 由 其 他 一 些 使 用 用 户 
账户 或 系统 的 人 产生 。 所 以 ,不 能 单 靠 日 志 的 记录 就 来 判断 某 个 人 就 有 不 良 企图 ,还 需 
要 结合 其 他 的 证 据 进行 判断 。 
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2) 日 志文 件 缺失 

在 启用 了 审核 并 且 正 在 运行 的 Windows 2003 系统 中 ,事件 日 志 永远 不 会 是 空白 的 。 
许多 有 经 验 的 入侵 者 会 在 进入 系统 后 清空 日 志文 件 , 以 隐藏 行为 踪迹 。 如 果 发 现 空白 的 
日 志文 件 ,就 应 该 立即 假定 系统 出 现 异 常 , 并 调查 日 志 空白 的 原因 。 最 近 出 现 了 一 些 允 
许 人 侵 者 修改 日 志文 件 中 特定 条 目的 工具 ,如 果 入 侵 者 试图 这 样 做 , 则 在 日 志文 件 中 发 
现 空 缺 , 要 找 出 空缺 ,只 需 查看 比 一 般 时 间 间 隔 要 长 的 日 志 条 目的 时 间 间 隔 即 可 。 如 果 
看 到 长 时 间 的 空缺 , 则 应 查 明 原 因 。 

3) 不 明 进 程 

大 量 的 进程 都 在 Windows 系统 上 运行 ,一 些 进程 容易 识别 ,而 另 一 些 进程 则 不 容量 
识别 。 查 看 任务 管理 器 ,可 以 看 到 运行 的 进程 以 及 它们 对 CPU 及 内 存 的 使 用 状况 。 系 
统管 理 员 应 改定 期 查看 任务 管理 器 ,以 了 解 是 否 有 未 知 的 进程 在 运行 。CMD 进程 是 一 
个 需要 查看 的 好 例子 。CMD 进程 是 命令 提示 符 或 DOS 窗口 。 如 果 它 正在 运行 , 则 在 屏 
幕 上 应 出 现 一 个 窗口 。 在 某 些 情况 下 ,入 侵 者 会 启动 CMD 进程 ,以 便 在 系统 上 执行 其 他 
操作 ,这 是 系统 上 存在 不 正常 事件 的 一 个 明显 迹象 。 

4) 强力 破解 行动 

如 果 有 人 通过 手工 或 使 用 工具 试图 猜测 账户 密码 ,那么 安全 事件 日 志 将 包含 表明 登 
录 的 失败 的 条 目 。 此 外 ,如 果 将 系统 配置 为 在 几 次 登录 失败 后 锁定 账户 , 则 还 会 显示 锁 
定 账 户 的 数量 。 安 全 事件 日 志 中 的 失败 登录 企图 信息 会 提供 这 种 企图 的 源 工作 站 的 名 
称 。 应 该 从 这 台 工 作 站 开始 调查 一 下 ,以 确定 出 现 登录 失败 的 原因 。 调 查 类 型 应 该 由 企 
图 的 来 源 决 定 , 并 根据 来 源 的 不 同 采 取 不 同 的 措施 。 

另外 ,要 配置 一 个 安全 的 Windows Server 2003 操作 系统 ,理解 服务 器 角色 绝对 是 安 
全 进程 中 不 可 或 缺 的 一 步 。Windows Server 可 以 被 配置 为 多 种 角色 , 它 可 以 作为 域 控制 
器 .成员 服 务 器 .基础 设施 服务 器 、 文 件 服 务 器 .打印 服务 器 IIS 服务 器 、IAS 服务 器 、 终 
端 服务 器 等 。 一 个 服务 器 甚至 可 以 被 配置 为 上 述 角色 的 组 合 。 每 种 服务 器 角色 都 有 相 
应 的 安全 需求 。 例 如 ,如 果 服 务 器 将 作为 IIS 服务 器 .那么 需要 开启 IIS 服务 。 然 而 ,如 
果 将 服务 器 作为 独立 的 文件 或 者 打印 服务 器 ,启用 IIS 服务 则 会 带 来 巨大 的 安全 隐患 。 
没有 一 种 配置 能 解决 所 有 的 安全 问题 ,服务 器 的 安全 应 该 随 着 服务 器 角色 和 服务 器 环境 
的 改变 而 改变 。 


435 安全 技巧 


1. 初级 技巧 


1) 物理 安全 

服务 器 应 该 安放 在 安装 了 监视 器 的 隔离 房间 内 ,并 且 监 视 器 要 保留 15 天 以 上 的 摄 
像 记 录 。 另 外 ,机 箱 .磁盘 .电脑 桌 抽 屠 都 要 上 锁 以 确保 旁人 即使 进入 房间 也 无 法 使 用 ， 
电脑 钥匙 要 放 在 另外 的 安全 的 地 方 。 

2) 停 掉 guest 账号 

在 计算 机 管理 的 用 户 里 面 把 guest 账号 停 用 掉 , 任 何 时 候 都 不 允许 guest 账号 登录 
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系统 。 为 了 保险 起 见 ,最 好 给 guest 加 一 个 复杂 的 密码 。 可 以 打开 记事 本 ,在 里 面 输入 一 
串 包 含 特殊 字符 ,数字 和 字母 的 长 字符 串 ,然后 把 它 作 为 guest 账号 的 密码 拷 进 去 。 

3) 限制 不 必要 的 用 户 数量 

去 掉 所 有 的 duplicate user 账户 ,测试 用 账户 .共享 账号 和 普通 部 门 账号 等 。 用 户 组 
策略 设置 相应 权限 ,并 且 经 常 检查 系统 的 账户 ,删除 已 经 不 在 使 用 的 账户 。 这 些 账户 很 
多 时 候 都 是 黑客 们 入 侵 系统 的 突破 口 。 系 统 的 账户 越 多 ,黑客 们 得 到 合法 用 户 的 权限 可 
能 性 一 般 也 就 越 大 。 国 内 的 Windows 2000/2003 主机 ,如 果 系 统 账 户 数 超过 10 个 ,一 般 
都 能 找 出 一 两 个 弱 密 码 账户 来 。 

4) 创建 2 个 管理 员 用 账号 

虽然 这 点 看 上 去 和 上 面 那 点 有 些 矛盾 ,但 事实 是 服从 上 面 的 规则 的 。 创 建 一 个 一 般 
权限 账号 用 来 收 信 以 及 处 理 一 些 日 常事 务 , 另 一 个 拥有 Administrators 权限 的 账户 只 在 
需要 的 时 候 使 用 。 可 以 让 管理 员 使 用 *RunAS” 命 令 来 执行 一 些 需要 特权 才能 做 的 工作 ， 
以 方便 管理 。 

5) 把 系统 administrator 账号 改名 

大 家 都 知道 Windows 2000/2003 的 administrator 账号 是 不 能 被 停 用 的 ,这 意味 着 
别人 可 以 一 遍 又 一 遍地 尝试 这 个 账户 的 密码 。 把 administrator 账户 改名 可 以 有 效 地 防 
止 这 一 点 。 当 然 ,请 不 要 使 用 admini 之 类 的 名 字 , 改 了 等 于 没 改 ,尽量 把 它 伪 装 成 普通 用 
户 ,比如 改 成 guestone。 

6) 创建 一 个 陷阱 账号 

什么 是 陷阱 账号 ? 创建 一 个 名 为 administrator 的 本 地 账户 ,把 它 的 权限 设置 成 最 低 , 什 
么 事 也 干 不 了 的 那 种 ,并 且 加 上 一 个 超过 10 位 的 超级 复杂 密码 。 这 样 可 以 让 那些 Scripts 
忙 上 一 段 时 间 , 借 此 发 现 它们 的 入 侵 企图 。 或 者 在 它 的 loginsc Scripts 上 面 做 点 手脚 。 

7) 把 共享 文件 的 权限 从 everyone 组 改 成 “授权 用 户 ” 

everyone 在 Windows 2000 中 意味 任何 有 权 进 入 网 络 的 用 户 都 能 够 获得 这 些 共享 资 
料 。 任 何 时 候 都 不 要 把 共享 文件 的 用 户 设置 成 everyone 组 ,包括 打印 共享 。 默认 的 共享 
就 是 everyone 组 的 ,一 定 不 要 忘 了 改 。 

8) 使 用 安全 密码 

一 个 好 的 密码 对 于 网 络 是 非常 重要 的 ,但 是 它 是 最 容易 被 忽略 的 。 前 面 所 说 的 也 许 
已 经 可 以 证 明 这 一 点 了 。 一 些 公 司 的 管理 员 创建 账号 时 ,往往 用 公司 名 .计算 机 名 或 者 
一 些 别 的 一 猜 就 中 的 东西 作用 户 名 ,然后 又 把 这 些 账户 的 密码 设置 得 太 简 单 ,比如 
welcome.i love you \letmain 或 者 和 用 户 名 相同 等 。 这 样 的 账户 应 该 要 求 用 户 首 次 登录 
的 时 候 更 改 成 复杂 的 密码 ,还 要 注意 经 常 更 改 密码 。 在 安全 期 内 无 法 破解 出 来 的 密码 就 
是 好 密码 ,也 就 是 说 如 果 人 家 得 到 了 密码 文档 ,必须 花 43 天 或 者 更 长 的 时 间 才 能 破解 出 
来 ,而 密码 策略 是 42 天 必须 改 密码 。 

9) 设置 屏幕 保护 密码 

这 个 很 简单 也 很 有 必要 ,设置 屏幕 保护 密码 也 是 防止 内 部 人 员 破 坏 服务 器 的 一 个 屏 
障 。 注 意 不 要 使 用 OpenGL 和 一 些 复杂 的 屏幕 保护 程序 ,比较 浪费 系统 资源 ,让 他 黑屏 
就 可 以 了 。 还 有 一 点 ,所 有 系统 用 户 所 使 用 的 机 器 也 最 好 加 上 屏幕 保护 密码 。 
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10) 使 用 NTFS 格式 分 区 

把 服务 器 的 所 有 分 区 都 改 成 NTFS 格式 。NTFS 文件 系统 要 比 FAT、FAT32 的 文 
件 系统 安全 得 多 。 

11) 运行 防毒 软件 

在 Windows 2000/2003 服务 器 上 安装 防毒 软件 ,其 实 这 一 点 非常 重要 。 一些 好 的 杀 
毒 软件 不 仅 能 杀 掉 一 些 著名 的 病毒 ,还 能 查 杀 大 量 木马 和 后 门 程序 。 这 样 的 话 ,黑客 们 
使 用 的 那些 有 名 的 木马 就 毫 无 用 武之 地 了 。 还 有 ,不 要 忘 了 经 常 升级 病毒 库 。 

12) 保障 备份 盘 的 安全 

一 旦 系统 资料 被 破坏 ,备份 盘 将 是 恢复 资料 的 唯一 途径 。 备 份 完 资料 后 要 把 备份 盘 
放 在 安全 的 地 方 。 千 万 别 把 资料 备份 在 同 台 服务 器 。 那 样 的 话 , 还 不 如 不 备份 。 


2. 中 级 技巧 


1) 利用 Windows 2000/2003 的 安全 配置 工具 来 配置 策略 

微软 提供 了 一 套 的 基于 MCC( 管 理 控 制 台 ) 安 全 配置 和 分 析 工 具 , 利 用 它们 可 以 很 
方便 地 配置 服务 器 以 满足 需求 。 具 体内 容 请 参考 微软 主页 。 

2) 关闭 不 必要 的 服务 

Windows 2000/2003 的 Terminal services( 终 端 服务 ) JIS 和 RAS 都 可 能 给 系统 带 
来 安全 漏洞 。 为 了 能 够 在 远程 方便 地 管理 服务 器 ,很 多 机 器 的 终端 服务 都 是 开 着 的 ,要 
确认 已 经 正确 地 配置 了 终端 服务 。 有 些 恶 意 的 程序 也 能 以 服务 方式 悄悄 地 运行 ,要 留意 
服务 器 上 面 开启 的 所 有 服务 。 中 期 性 (每 天 ) 地 检查 它们 。 下 面 是 C2 级 别 安装 的 默认 
服务 。 

Computer Browser Servioe TCP/IP NetBIOS Helper 


Microsoft DNS server Spooler 
NITM SSP server 


REC Locator WINS 

REC service Workstation 

Netlogon Event log 

3) 关闭 不 必要 的 端口 

关闭 端口 意味 着 减少 功能 ,在 安全 和 功能 上 面 需要 进行 协调 。 如 果 服 务 器 安装 在 防 
火 墙 的 后 面 ,危险 性 会 少 些 。 但 是 ,永远 不 要 认为 就 可 以 高 枕 无 忧 了 。 用 端口 扫描 器 扫 
描 系统 所 开放 的 端口 ,确定 开放 了 哪些 服务 是 黑客 和 人 侵 你 的 系统 的 第 一 步 。 在 system32 
AdriversNetc 下 的 services 文件 中 有 知名 端口 和 服务 的 对 照 表 可 供 参 考 。 具 体 方法 是 选 
择 “ 网 上 邻居 ”一 “属性 ”>“ 本 地 连接 ”一 “属性 ”设置 internet 协议 中 的 TCP/IP“ 属 性 " 命 
令 打 开 TCP/IP 筛选 ,添加 需要 的 TCP 和 UDP 协议 即 可 。 

4) 打开 审核 策略 

开启 安全 审核 是 Windows 2000/2003 最 基本 的 入 侵 检测 方法 。 当 有 人 尝试 对 你 的 
系统 进行 某 种 方式 (如 尝试 用 户 密 码 、 改 变 账 户 策略 、 未 经 许可 的 文件 访问 等 ) 入 侵 的 时 
候 , 都 会 被 安全 审核 记录 下 来 。 很 多 的 管理 员 在 系统 被 人 侵 了 几 个 月 都 不 知道 ,直到 系 
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统 遭 到 破坏 。 下 面 的 这 些 审核 是 必须 开启 的 ,其 他 的 可 以 根据 需要 增加 。 

策略 设置 。 

审核 系统 登录 事件 成 功 ,失败 

审核 账户 管理 成功, 失败 

审核 登录 事件 成 功 ,失败 

审核 对 象 访问 ”成功 

审核 策略 更 改 ” 成 功 ,失败 

审核 特权 使 用 成 功 ,失败 

审核 系统 事件 成 功 ,失败 

5) 开启 密码 策略 

策略 设置 。 

密码 复杂 性 要 求 ” 启 用 

密码 长 度 最 小 值 6 位 

强制 密码 历史 5 次 

强制 密码 历史 42 天 

6) 开启 账户 策略 

策略 设置 。 

复位 账户 锁定 计数 器 ”20 分 钟 

账户 锁定 时 间 ”20 分 钟 

账户 锁定 数值 3 次 

7) 设 定安 全 记录 的 访问 权限 

安全 记录 在 默认 情况 下 是 没有 保护 的 ,把 它 设 置 成 只 有 Administrator 和 系统 账户 
才 有 权 访 问 。 

8) 把 敏感 文件 存放 在 另外 的 文件 服务 器 中 

虽然 现在 服务 器 的 硬盘 容量 都 很 大 ,但 是 还 是 应 该 考虑 是 否 有 必要 把 一 些 重要 的 用 
户 数据 (文件 .数据 表 、 项 目 文件 等 ) 存 放 在 另外 一 个 安全 的 服务 器 中 ,并 且 经 常备 份 
它们 。 

9) 不 让 系统 显示 上 次 登录 的 用 户 名 

默认 情况 下 ,终端 服务 接 入 服务 器 时 .登录 对 话 框 中 会 显示 上 次 登录 的 账户 名 ,本 地 
的 登录 对 话 框 也 是 一 样 。 这 使 得 别人 可 以 很 容易 地 得 到 系统 的 一 些 用 户 名 ,进而 进行 密 
码 猜测 。 修 改 注册 表 可 以 不 让 对 话 框 里 显示 上 次 登录 的 用 户 名 ,具体 内 容 如 下 。 


HKIMS\ software\Microsoft\Windows NINCurrent Version\Winlogon\DontDisplayLastUser-Name 


把 REG_SZ 的 键 值 改 成 1。 如 果 没 有 ,需要 建立 一 个 。 

10) 禁止 建立 空 连接 

默认 情况 下 ,任何 用 户 可 以 通过 空 连接 连 上 服务 器 ,进而 枚 举 账号 猜测 密码 。 可 以 
通过 修改 注册 表 来 禁止 建立 空 连接 ,将 HKLM\System\CurruntControlSet\Control\ 
LSA\RestrictAnonymous 的 值 改 成 1 即 可 。 
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11) 到 微软 公司 网 站 下 载 最 新 的 补丁 程序 

很 多 网 络 管理 员 没 有 访问 安全 站 点 的 习惯 ,以 至 于 一 些 漏 洞 都 出 了 很 久 了 ,还 放 着 
服务 器 的 漏洞 不 补 。 谁 也 不 敢 保 证 数 百 万 行 以 上 代码 的 Windows 2000/2003 没有 一 点 
安全 漏洞 。 经 常 访 问 微软 和 一 些 安全 站 点 ,下 载 最 新 的 service pack 和 漏洞 补丁 ,是 保障 
服务 器 长 久 安全 的 唯一 方法 。 


3. 高 级 技巧 


1) 关闭 DirectDraw 

这 是 C2 级 安全 标准 对 视频 卡 和 内 存 的 要 求 。 关 闭 DirectDraw 可 能 对 一 些 需要 用 
到 DirectX 的 程序 有 影响 (比如 游戏 ) ,但 是 对 于 绝 大 多 数 的 商业 站 点 都 应 该 是 没有 影响 
的 。 修 改 注 册 表 ,将 HKLM\SYSTEM\Cur rentControlSet\Control\GraphicsDrivers\ 
DCI 的 Timeout 值 改 为 0 即 可 。 

2) 关闭 默认 共享 

从 Windows 98 开始 ,共享 就 给 许多 的 上 网 用 户 带 来 无 穷 无 尽 的 烦恼 ,成 为 黑客 攻击 
他 人 计算 机 的 一 把 利器 。 网 上 有 很 多 关于 IPC 入 侵 的 文章 ,相信 大 家 一 定 不 陌生 。 要 禁 
止 这 些 共 享 ,可 以 打开 管理 工具 一 计算 机 管理 一 共享 文件 夹 一 共享 ,在 相应 的 共享 文件 
夹 上 右 击 ,选择 停止 共享 即 可 。 不 过 机 器 重新 启动 后 ,这 些 共享 又 会 重新 开启 。 如 何 彻 
底 禁 止 Windows 系统 的 共享 漏洞 呢 ? 

(1) 查看 共享 资源 

Windows 2000/2003 安装 好 以 后 ,系统 会 创建 一 些 隐藏 的 共享 。 在 Windows 系统 
中 ,计算 机 所 有 的 驱动 器 都 默认 为 自动 共享 ,但 不 会 显示 共享 的 手 形 标志 ,这 就 给 网 络 安 
全 留 下 了 隐患 。 可 以 在 “运行 ? 栏 中 输入 cmd 然后 回 车 ,打开 命令 提示 符 ,再 输入 net 
share 查看 计算 机 中 的 共享 资源 ,找到 这 些 共享 目录 。 默 认 共享 目录 路 径 和 功能 如 下 
所 示 。 

@C$ .DS$ .ES$: 每 个 分 区 的 根 目录 ,Windows 2000 pro 版 中 ,只 有 Administrator 
和 Backup Operators 成 员 才 可 连接 , Windows 2000 server 、Windows server 2003 版 本 
中 Server Operatros 组 也 可 以 连接 到 这 些 共 享 日 录 。 

@ ADMIN$ %SYSTEMROOT%: 远程 管理 用 的 共享 目录 。 它 的 路 径 永远 都 指 
向 Windows 2000 的 安装 路 径 ,比如 c:winnt。 

@ FAX$ : 在 Windows 2000 Server 中 ,FAX$ 在 fax 客户 端 发 传真 的 时 候 会 用 到 。 

@ IPC$ : 空 连接 ,IPC $ 共享 提供 了 登录 到 系统 的 能 力 。 

@ Net Logon: 在 Windows 2000 服务 器 的 Net Login 服务 处 理 登 录 域 请 求 时 要 
用 到 。 

@ PRINT$ %SYSTEMROOT%\SYSTEM32\SPOOL\DRIVERS: 用 户 远程 管 
理 打 印 机 。 

如 果 对 “命令 提示 符 ” 的 界面 不 习惯 ,可 以 依次 打开 “控制 面板 ”>“ 管 理工 具 ” 一 “ 计 
算 机 管理 ”>“ 共 享 文件 夹 ”, 查 看 计算 机 中 所 有 共享 的 资源 。 
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(2) 清除 共享 漏洞 

首先 确保 以 Administrator 或 Power Users 组 的 成 员 身 份 登录 系统 ,然后 通过 以 下 
三 个 步骤 清除 共享 的 漏洞 。 

@ 选择 “开始 菜单 一 控制 面板 一 管理 工具 一 服务 ”命令 ,找到 Server 服务 ,停止 该 服 
务 ,并 且 在 “属性 ”中 将 “启动 类 型 "设置 为 “手动 ”或 “已 禁用 ”。 

@ 修改 注册 表 。 选 择 “ 开 始 一 运行 "命令 ,输入 regedit 进入 “注册 表 编 辑 器 ”"。 找 到 
HEKY_LOCAL MANCHINE\System\CurrentControlSet\ Services \ LanmanServer\ 
Paramaters 子 键 ,在 右 侧 的 窗口 中 分 别 新 建 一 个 名 为 AutoShareWks 和 一 个 名 为 
AutoShareServer 的 双 字 节 键 值 ,并 且 将 值 设置 为 0。 

@ 使 用 命令 提示 符 下 的 net share 命令 也 可 以 消除 这 一 隐患 。 打 开 Windows 自 带 
的 记事 本 ,输入 如 下 内 容 。 

net share admins /del 

net share ipc$ /del 

net share c /del 


接 下 来 将 该 文件 保存 为 一 个 扩展 名 为 bat 的 批 处 理 文件 。 最 后 ,用 Windows 的 “ 任 
务 计划 ”功能 让 该 批 处 理 文件 在 每 次 开机 时 都 自动 运行 。 

提示 : 如 果 还 有 其 他 盘 也 使 用 了 共享 ,如 了 DD 盘 , 则 在 记事 本 中 添加 net share d/del 即 
可 。 输 入 时 不 要 忽略 参数 之 前 的 空格 。 

3) 禁止 dump file 的 产生 

dump 文件 在 系统 骨 演 和 蓝屏 的 时 候 是 一 份 很 有 用 的 帮助 查找 问题 的 资料 。 然 而 ， 
它 也 能 够 给 黑客 提供 些 敏 感 信息 ,比如 一 些 应 用 程序 的 密码 等 。 要 禁止 它 , 打 开 “ 控 制 面 
板 ”>“ 系 统 属性 ”一 “高 级 >“ 启动 和 故障 恢复 ”把 “ 写 入 调试 信息 ” 改 成 “无 ” 即 可 。 要 用 
的 时 候 , 可 以 重新 打开 它 。 

4) 使 用 文件 加 密 系统 EPS 

Windows 2000/2003 强大 的 加 密 系统 能 够 给 磁盘 文件 夹 .文件 加 上 一 层 安全 保护 。 
这 样 可 以 防止 别人 把 硬盘 挂 到 别 的 机 器 上 读 出 里 面 的 数据 。 记 住 要 给 文件 夹 也 使 用 
EFS ,而 不 仅仅 是 单个 的 文件 。 有 关 EFS 的 具体 信息 可 以 查看 http://www. microsoft. 
com/windows2000/techinfo/howitworks/security/encrypt. asp。 

5) 加 密 temp 文件 夹 

一 些 应 用 程序 在 安装 和 升级 的 时 候 ,会 把 一 些 东西 复制 到 temp 文件 夹 , 但 是 当 程 序 
升级 完毕 或 关闭 的 时 候 , 它 们 并 不 会 自己 清除 temp 文件 夹 的 内 容 。 所 以 ,给 temp 文件 
夹 加 密 可 以 给 里 面 的 文件 多 层 保护 。 

6) 锁 住 注册 表 

在 Windows 2000/2003 中 ,只 有 Administrators 和 Backup Operators 才 有 从 网 络 上 
访问 注册 表 的 权限 。 如 果 觉 得 还 不 够 的 话 .可 以 进一步 设 定 注册 表 访 问 权限 ,详细 信息 
请 参考 , 


httbp://supgport.microsoft.cory/support/kby/articles/Ql153/1/83.asp 
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7) 关机 时 清除 掉 页 面 文件 

页 面 文件 也 就 是 调度 文件 ,是 Windows 2000/2003 用 来 存储 没有 装 人 内 存 的 程序 和 
数据 文件 部 分 的 隐藏 文件 。 一 些 第 三 方 的 程序 可 以 把 一 些 没有 加 密 的 密码 存在 内 存 中 ， 
页 面 文件 中 也 可 能 会 有 另外 一 些 敏感 的 资料 。 要 在 关机 的 时 候 清 除 页 面 文件 ,可 以 编辑 
注册 表 : 


HKIM\ SYSTEM\ CurrentControlSet\Control\Session MenagerNMEmpry Management 


把 ClearPageFileAtShutdown 的 值 设置 成 1 。 

8) 禁止 从 软盘 和 CD ROM 启动 系统 

一 些 第 三 方 的 工具 能 通过 引导 系统 来 绕 过 原 有 的 安全 机 制 。 如 果 服 务 器 对 安全 要 
求 非常 高 ,可 以 考虑 使 用 可 移动 软盘 和 光驱 。 把 机 箱 锁 起 来 也 不 失 为 一 个 好 方法 。 

9) 考虑 使 用 智能 卡 来 代替 密码 

对 于 密码 ,总 是 让 安全 管理 员 进 退 两 难 ,容易 受到 10phtcrack 等 工具 的 攻击 。 如 果 
密码 太 复杂 ,用 户 为 了 记 住 密码 ,又 会 把 密码 到 处 乱 写 。 如 果 条 件 允 许 , 用 智能 卡 来 代替 
复杂 的 密码 是 个 很 好 的 解决 方法 。 

10) 考虑 使 用 IPSec 

正如 其 名 字 的 含义 ,IPSec 提供 IP 数据 包 的 安全 性 。IPSec 提供 身份 验证 、 完 整 性 和 
可 选择 的 机 密 性 。 发 送 方 计算 机 在 传输 之 前 加 密 数据 ,而 接收 方 计算 机 在 收 到 数据 之 后 
解密 数据 。 利 用 IPSec 可 以 使 得 系统 的 安全 性 能 大 大 增强 。 


44 UNX 系 统 的 安全 


UNIX 系统 的 运行 是 否 安全 稳定 ,与 系统 管理 员 对 系统 的 安全 配置 有 着 直接 的 关 
系 。 在 UNIX 系统 中 ,系统 管理 员 一 般 是 以 超级 用 户 的 身份 进入 系统 的 ,因为 UNIX 的 
一 些 系统 管理 命令 只 能 由 超级 用 户 运行 。 超 级 用 户 拥有 其 他 用 户 所 没有 的 特权 , 它 不 管 
文件 存 取 许 可 方式 如 何 , 都 可 以 读 写 任何 文件 ,运行 任何 程序 。 系 统管 理 员 通常 使 用 命 
令 “/bin/su” 或 以 root 进入 系统 从 而 成 为 超级 用 户 。 在 后 面 文章 中 以 # 表 示 应 输入 必须 
由 超级 用 户 运 行 的 命令 ,用 $ 表 不 应 输入 由 所 有 其 他 用 户 运行 的 命令 。 本 节 将 从 系统 管 
理 员 的 角度 ,讨论 UNIX 系统 的 安全 问题 。 


441 系统 安全 管理 
安全 管理 主要 分 为 四 个 方面 。 
1. 防止 未 授权 存 取 


这 是 计算 机 安全 最 重要 的 问题 。 要 防止 未 被 授权 使 用 系统 用 户 进 入 系统 。 用 户 意 
识 . 良 好 的 密码 管理 (由 系统 管理 员 和 用 户 双 方 配合 ) .登录 活动 记录 和 报告 .用户 和 网 络 
活动 的 周期 检查 ,这些 都 是 防止 未 授权 存 取 的 关键 。 
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2. 防止 泄密 


这 也 是 计算 机 安全 的 一 个 重要 问题 。 防 止 已 授权 或 未 授权 的 用 户 相 互 存 取 重要 信 
息 。 文 件 系统 查账 .su 登录 和 报告 .用 户 意识 、 加 密 都 是 防止 泄密 的 关键 。 


3. 防止 用 户 拒绝 系统 的 管理 


这 一 方面 的 安全 应 由 操作 系统 来 完成 。 一 个 系统 不 应 被 一 个 有 意 试图 使 用 过 多 资 
源 的 用 户 损害 。 不 幸 的 是 ,UNIX 不 能 很 好 地 限制 用 户 对 资源 的 使 用 ,一 个 用 户 能 够 使 
用 文件 系统 的 整个 磁盘 空间 ,而 UNIX 基本 不 能 阻止 用 户 这 样 做 。 系 统管 理 员 最 好 用 
PS 命令 . 记 账 程序 df 和 du 周期 地 检查 系统 , 查 出 过 多 占用 CUP 的 进程 和 最 大 占用 磁盘 
的 文件 。 


4. 防止 丢失 系统 的 完整 性 


这 一 安全 方面 与 一 个 好 系统 管理 员 的 实际 工作 (例如 ,周期 地 备份 文件 系统 ,系统 月 
溃 后 运行 fsck 检查 修复 文件 系统 , 当 有 新 用 户 时 检 侧 该 用 户 是 否 可 能 使 用 会 造成 系统 崩 
溃 的 软件 ) 和 保持 一 个 可 靠 的 操作 系统 有 关 ( 即 用 户 不 能 经 常 性 地 使 系统 崩溃 ) 。 


5. 运行 权限 


UNIX 系统 要 采用 单 用 户 方式 启动 ,使 系统 管理 员 在 允许 普通 用 户 登 录 以 前 , 先 检 
查 系统 操作 ,确保 系统 一 切 正常 。 当 系统 处 于 单 用 户 方 式 时 ,控制 台 作 为 超级 用 户 ,命令 
提示 符 是 #”。 

系统 管理 员 要 确切 知道 /etc/inittab 中 的 程序 做 什么 工作 ,确保 这 些 程序 以 及 这 些 程 
序 所 在 的 目录 直到 /和 /etc/inittb, 除 root 外 无 人 可 写 。 

shutdown 只 能 由 作为 root 登录 的 用 户 从 系统 控制 台 上 运行 ,所 以 任何 的 shutdown 
运行 的 命令 只 能 对 root 可 写 。 

在 UNIX 系统 是 多 用 户 方式 时 运行 ,还 要 确保 /usr/lib/crontab 和 该 表 中 列 出 的 任 
何 程 序 对 任何 人 不 可 写 。 如 果 用 户 需 要 由 cron 执行 一 个 程序 ,系统 管理 员 可 用 su 命令 
在 crontab 表 中 建立 一 个 人 口 ,使 用 户 的 程序 不 能 获得 root 的 权限 。 

每 当 用 户 ( 包 括 root 在 内 ) 登 录 时 ,由 shell 执行 /etc/profile 文件 ,应 确保 这 个 文件 
以 及 从 这 个 文件 运行 的 程序 和 命令 都 只 对 root 可 写 。 


442 文件 系统 安全 


1. UNIX 文件 系统 概述 


UNIX 文件 系统 是 UNIX 系统 的 心脏 部 分 ,提供 了 层次 结构 的 目录 和 文件 。 文 件 系 
统 将 磁盘 空间 划分 成 一 个 一 个 由 1024 个 字 节 组 成 的 块 (block) (也 有 用 512 字 节 为 一 块 
的 ,如 SCO XENIX) ,编号 从 0 开始 到 整个 磁盘 的 最 大 块 数 。 全 部 块 可 划分 为 四 个 部 分 ， 
块 0 称 为 引导 块 ,文件 系统 不 用 该 块 ; 块 1 称 为 专用 块 , 专 用 块 含 有 许多 信息 ,其 中 有 磁 
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盘 大 小 和 全 部 块 的 其 他 两 部 分 的 大 小 。 从 块 2 开始 是 i 节点 表 ,i 节 点 表 中 含有 i 节点 ， 
表 的 块 数 是 可 变 的 。 

设备 文件 UNIX 系统 与 连 在 本 系统 上 的 各 种 设备 之 间 的 通信 ,通过 特别 文件 来 实 
现 。 就 程序 而 言 ,磁盘 是 文件 ,MODEM 是 文件 ,甚至 内 存 也 是 文件 。 所 有 连接 到 系统 上 
的 设备 都 在 /dev 目录 中 有 一 个 文件 与 其 对 应 。 当 在 这 些 文件 上 执行 /O 操作 时 ,由 
UNIX 系统 将 1/O 操作 转换 成 实际 设备 的 动作 。 例 如 ,文件 /dev/mem 是 系统 的 内 存 , 如 
果 用 cat 命令 执行 这 个 文件 ,实际 上 是 在 终端 显示 系统 的 内 存 。 为 了 安全 起 见 , 这 个 文件 
对 普通 用 户 是 不 可 读 的 。 因 为 在 任 一 给 定时 间 ,内 存 区 可 能 含有 用 户 登 录 密 码 或 运行 程 
序 的 密码 和 某 部 分 文件 的 编辑 缓冲 区 ,而 缓冲 区 可 能 含有 用 ed - x 命令 解密 后 的 文本 ,以 
及 用 户 不 愿 让 其 他 人 存 取 的 种 种 信息 。 在 /dev 中 的 文件 通常 称 为 设备 文件 ,用 ls /dev 
命令 可 以 看 看 系统 中 的 一 些 设备 : acuo 为 呼叫 自动 拨号 据 ; console 为 系统 控制 台 ; 
dsknn 为 块 方式 操作 磁盘 分 区 ;kmem 为 核心 内 存 ;mem 为 内 存 ;lp 为 打印 机 ;mto 为 块 
方式 操作 磁带 ;rdsknn 为 流 方式 操作 的 磁盘 分 区 ;rmto 为 流 方式 操作 的 磁带 ;swap 为 交 
换 区 ;syscon 为 系统 终端 ;ttynn 为 终端 口 ;x25 为 网 络 端 口 等 。 


2. 安全 考虑 


将 设备 处 理 成 文件 ,使 得 UNIX 程序 独立 于 设备 , 即 程 序 不 必 一 定 要 了 解 正在 使 用 
的 设备 的 任何 特性 , 存 取 设 备 也 不 需要 记录 长 度 . 块 大 小 .传输 速度 .网 络 协议 等 这 样 一 
些 信息 。 所 有 的 细节 由 设备 驱动 程序 去 关心 考虑 ,要 存 取 设备 ,程序 只 须 打 开设 备 文件 ， 
然后 作为 普通 的 UNIX 文件 来 使 用 。 从 安全 的 观点 来 看 这 样 处 理 很 好 ,因为 任何 设备 上 
进行 的 1/O 操作 只 经 过 了 少量 的 渠道 ( 即 设备 文件 ) ,用户 不 能 直接 地 存 取 设备 。 所 以 ， 
如 果 正 确 地 设置 了 磁盘 分 区 的 存 取 许可 ,用 户 就 只 能 通过 UNIX 文件 系统 存 取 磁盘 。 文 
件 系统 有 内 部 安全 机 制 (文件 许可 )。 不 幸 的 是 ,如 果 磁 盘 分 区 设置 得 不 正确 ,任何 用 户 
都 能 够 写 一 个 程序 读 磁盘 分 区 中 的 每 个 文件 ,做 法 很 简单 就 是 读 一 个 i 节点 ,然后 以 磁盘 
地 址 表 中 块 号 出 现 的 顺序 ,依次 读 这 些 块 号 指出 的 存 有 文件 内 容 的 块 。 故 除了 root 以 
外 , 绝 不 要 使 盘 分 区 对 任何 人 可 写 。 因 为 所 有 者 文件 存 取 许 可 方式 等 这 样 一 些 信息 存 
放 于 i 节点 中 ,任何 人 只 要 具有 已 安装 分 区 的 写 许可 ,就 能 设置 任何 文件 的 SUID 许可 ， 
而 不 管 文件 的 所 有 者 是 谁 ,也 不 必用 chmod(1) 命 令 ,还 可 避 过 系统 建立 的 安全 检查 。 

以 上 所 述 对 内 存 文件 mem、kmem 和 对 换文 件 swap 也 是 一 样 的 。 这 些 文件 含有 用 
户 信息 ,一 个 “别有用心 ”的 程序 就 可 以 将 用 户 信息 提取 出 来 。 要 避免 磁盘 分 区 (以 及 其 
他 设备 ) 可 读 可 写 ,应 当 在 建立 设备 文件 前 先 用 umask 命令 设置 文件 建立 屏蔽 值 。 一 般 
情况 下 ,UNIX 系统 上 的 终端 口 对 任何 人 都 是 可 写 的 ,从 而 使 用 户 可 以 用 write 命令 发 送 
信息 。 虽 然 write 命令 易 引 起 安全 方面 的 问题 ,但 大 多 数 用 户 觉得 用 write 得 到 其 他 用 户 
的 信息 很 方便 ,所 以 ,系统 将 终端 设备 的 存 取 许可 设置 成 对 所 有 用 户 可 写 。/dev 目录 应 
当 采 用 文件 的 所 有 者 ( 属 root 所 有 ) 具 有 读 、 写 和 执行 的 权利 ,而 同 组 用 户 和 其 他 用 户 只 
有 读 和 执行 权利 的 存 取 许可 方式 。 不 允许 除 root 外 的 任何 用 户 读 或 写 盘 分 区 的 原则 有 
一 例外 , 即 一 些 程序 (通常 是 数据 库 系统 ) 要 求 对 磁盘 分 区 直接 存 取 。 解 决 这 个 问题 的 经 
验 是 盘 分 区 应 当 由 这 种 程序 专用 (不 安装 文件 系统 ) ,而且 应 当 告 知 使 用 这 种 程序 的 用 
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户 ,文件 安全 保护 将 由 程序 自己 而 不 是 UNIX 文件 系统 完成 。 

系统 管理 员 应 当做 一 个 程序 以 定期 检查 系统 中 的 各 个 系统 文件 ,包括 检查 设备 文件 
和 SUID、SGID 程序 ,尤其 要 注意 检查 SUID、SGID 程序 ,检查 /etc/passwd 和 /etc / 
group 文件 ,寻找 久未 登录 的 户头 和 校 验 各 重要 文件 是 否 被 修改 。 


3. 安装 和 拆卸 文件 系统 


UNIX 文件 系统 是 可 安装 的 ,这 意味 着 每 个 文件 系统 可 以 连接 到 整个 目录 树 的 任意 
节点 上 ( 根 目录 总 是 被 安装 上 的 )。 安 装 文件 系统 的 目录 称 为 安装 点 。/etc/mount 命令 
用 于 安装 文件 系统 ,用 这 条 命令 可 将 文件 系统 安装 在 现 有 目录 结构 的 任意 处 。 安 装 文件 
系统 时 ,安装 点 的 文件 和 目录 都 是 不 可 存 取 的 ,因此 未 安装 文件 系统 时 ,不 要 将 文件 存 人 
安装 点 目录 。 文 件 系统 安装 后 ,安装 点 的 存 取 许可 方式 和 所 有 者 将 改变 为 所 安装 的 文件 
根 目录 的 许可 方式 和 所 有 者 。 安 装 文件 系统 时 要 小 心 : 安装 点 的 属性 会 改变 。 还 要 注意 
新 建 的 文件 ,除非 新 文件 系统 是 由 标准 文件 建立 的 ,系统 标准 文件 会 设置 适当 的 存 取 许 
可 方式 ,否则 新 文件 系统 的 存 取 许可 将 是 对 所 有 用 户 都 具有 读 、 写 和 执行 的 权利 。 可 用 
-r 选项 将 文件 系统 安装 成 只 读 文 件 系 统 . 需 要 写 保 护 的 带 驱 动 器 和 磁盘 应 当 以 这 种 方式 
来 安装 。 

不 带 任 何 参 数 的 /etc/mount 可 获得 系统 中 所 安装 的 文件 系统 的 有 关 信 息 。 包 括 文 
件 系统 被 安装 的 安装 点 目录 ,对 应 /dev 中 的 哪个 设备 ,只 读 或 可 读 写 ,安装 时 间 和 日 期 
等 。 从 安全 的 观点 来 讲 , 可 安装 系统 的 危险 来 自用 户 可 能 请 求 系统 管理 员 为 其 安装 用 户 
自己 的 文件 系统 。 如 果 安 装 了 用 户 的 文件 系统 , 则 应 在 允许 用 户 存 取 文件 系统 前 , 先 扫 
描 用 户 的 文件 系统 ,搜索 SUID/SGID 程序 和 设备 文件 。 在 除了 root 外 任何 人 不 能 执行 
的 目录 中 安装 文件 系统 ,用 find 命令 或 secure 列 出 可 疑 文件 ,删除 不 属于 用 户 所 有 文件 
的 SUIDVSGID 许可 。 用 户 文件 系统 用 完 后 ,可 用 umount 命令 印 下 文件 系统 ,并 将 安装 
点 目录 的 所 有 者 改 回 root 存 取 许可 改 为 文件 的 所 有 者 ( 属 root 所 有 ) 具 有 读 、 写 和 执行 
的 权利 ,而 同 组 用 户 和 其 他 用 户 只 有 读 和 执行 的 权利 的 存 取 许可 方式 。 


4. 系统 目录 和 文件 


UNIX 系统 中 有 许多 文件 不 允许 用 户 写 ,如 /bin、/usr/bin、/usr/lbin、/etc/passwd、 
/usr/lib/crontab、/unix、/etc/re、/etc/inittab 这 样 一 些 文 件 和 目录 (大 多 数 的 系统 目 
录 ), 可 写 的 目录 允许 移动 文件 ,会 引起 安全 问题 。 系 统管 理 员 应 该 经 常 检查 系统 文件 和 
目录 的 许可 权限 和 所 有 者 。 可 做 一 个 程序 ,根据 系统 提供 的 规则 文件 (在 /etc/permlist 
文件 中 ) 所 描述 的 文件 所 有 者 和 许可 权 规 则 检查 各 文件 。 

注意 : 如 果 系 统 的 安全 管理 不 好 ,或 系统 是 新 安装 的 ,其 安全 程序 不 够 高 ,可 以 用 
make 方式 在 安全 强 的 系统 上 运行 上 述 程序 ,将 许可 规则 文件 复制 到 新 系统 来 ,再 以 设置 
方式 在 新 系统 上 运行 上 述 程序 ,就 可 提高 本 系统 的 安全 程序 。 但 要 记 住 , 两 个 系统 必须 
运行 相同 的 UNIX 系统 版 本 。 
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5. 重要 的 系统 文件 


1) /etc/passwd 文件 
/etc/passwd 文件 是 UNIX 安全 的 关键 文件 之 一 。 该 文件 用 于 用 户 登 录 时 校 验 用 户 
的 密码 ,当然 应 该 仅 对 root 可 写 。 文 件 中 每 行 的 一 般 格式 为 : 


LOGNAME.: PASSWORD:UID:GID:USERINEO:HOME: SHELL 


每 行 的 头 两 项 是 登录 名 和 加 密 后 的 密码 ,后 面 的 两 个 数 是 UID 和 GID ,接着 的 一 项 
是 系统 管理 员 想 写 人 的 有 关 该 用 户 的 任何 信息 ,最 后 两 项 是 两 个 路 径 名 ,一 个 是 分 配给 
用 户 的 HOME 目录 ;第 二 个 是 用 户 登 录 后 将 执行 的 shell( 若 为 空格 则 默认 为 /bin/sh) 。 

(1) 密码 时 效 。 

/etc/passwd 文件 的 格式 使 系统 管理 员 能 要 求 用 户 定期 地 改变 他 们 的 密码 。 在 密码 
文件 中 可 以 看 到 ,有 些 加 密 后 的 密码 有 逗号 ,逗号 后 有 几 个 字符 和 一 个 冒号 ,例如 ， 

steve:xyDfocTrt180x, M。  y8:0:0:admin:/:/bin/sh 

restrict: pam Tk109Jky41，1:0:0:admin:/:/bin/sh 

pat:xmotTVoyurd1s:0:0:admin:/:/bin/sh 

可 以 看 到 ,steve 的 密码 逗号 后 有 4 个 字符 ,restrict 有 2 个 ,pat 没有 有 逗号。 逗号 后 第 
一 个 字符 是 密码 有 效 期 的 最 大 周 数 。 第 二 个 字符 决定 了 用 户 再 次 修改 口 信之 前 , 原 密码 
应 使 用 的 最 小 周 数 (这 就 防止 了 用 户 改 了 新 密码 后 立刻 又 改 回 成 旧 密 码 )。 其 余 字 符 表 
明 密 码 最 新 修改 时 间 。 要 能 读 懂 密 码 中 逗号 后 的 信息 ,首先 必须 知道 如 何 用 passwd_esc 
计数 ,计数 的 方法 是 : . ==0、/ 二 1、0-9 二 2-11、A-Z 二 12-37 、a-z 一 38-63。 系 统管 理 员 必须 
将 前 两 个 字符 放 进 /etc/passwd 文件 ,以 要 求 用 户 定 期 地 修改 密码 ,另外 两 个 字符 当 用 户 
修改 密码 时 ,由 passwd 命令 填 入 。 

注意 : 若 想 让 用 户 修改 密码 ,可 在 最 后 一 次 密码 被 修改 时 , 放 两 个 ".”, 则 下 一 次 用 户 
登录 时 将 被 要 求 修改 自己 的 密码 。 当 最 大 周 数 (第 一 个 字符 ) 小 于 最 小 周 数 (第 二 个 字 
符 ) 时 , 则 不 允许 用 户 修改 密码 , 仅 超级 用 户 可 以 修改 用 户 的 密码 。 当 第 一 个 字符 和 第 二 
个 字符 都 是 “. ”时 ,用 户 下 次 登录 时 被 要 求 修改 密码 。 修 改 密码 后 ,passwd 命令 将 “.” 删 
除 , 此 后 不 会 再 要 求 用 户 修改 密码 。 

(2) UID 和 GID。 

/etc/passwd 中 UID 信息 很 重要 ,系统 使 用 UID 而 不 是 登录 名 区 别 用 户 。 一 般 来 
说 ,用 户 的 UID 应 当 是 独一无二 的 ,其 他 用 户 不 应 当 有 相同 的 UID 数值 。 根 据 惯例 ,从 0 
到 99 的 UID 保留 用 作 系 统 用 户 的 UID(root、bin、uucp 等 )。 如 果 在 /etc/passwd 文件 中 
两 个 不 同 的 入 口 项 有 相同 的 UID, 则 这 两 个 用 户 对 相互 的 文件 具有 相同 的 存 取 权限 。 

2) /etc/group 文件 

/etc/group 文件 含有 关于 小 组 的 信息 ,/etc/passwd 中 的 每 个 GID 在 本 文件 中 应 有 
相应 的 入 口 项 ,入 口 项 中 列 出 了 小 组 名 和 小 组 中 的 用 户 。 这 样 可 以 方便 地 了 解 每 个 小 组 
的 用 户 , 否 则 必须 根据 GID 在 /etc/passwd 文件 中 从 头 至 尾 地 寻找 同 组 用 户 。/etc/ 
group 文件 对 小 组 的 许可 权限 的 控制 并 不 是 必要 的 ,因为 系统 用 UID 和 GID( 取 自 /etc/ 
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passwd) 决 定 文件 存 取 权限 ,即使 /etc/group 文件 不 存在 于 系统 中 ,具有 相同 的 GID 用 户 
也 可 以 小 组 的 存 取 许 可 权限 共享 文件 。 

小 组 就 像 登 录用 户 一 样 可 以 有 密码 。 如 果 /etc/group 文件 入 口 项 的 第 二 个 域 为 非 
空 。 则 将 被 认为 是 加 密 密 码 , newgrp 命令 将 要 求 用 户 给 出 密码 ,然后 将 密码 加 密 , 再 与 
该 域 的 加 密 密 码 比 较 。 给 小 组 建立 密码 一 般 不 是 个 好 做 法 。 首 先 ,如 果 小 组 内 共享 文 
件 , 若 有 某 人 猜 出 小 组 密码 , 则 该 组 的 所 有 用 户 的 文件 就 可 能 泄露 。 其 次 ,管理 小 组 密码 
很 费事 ,因为 对 于 小 组 没有 类 似 的 passwd 命令 。 可 用 /usr/lib/makekey 生成 一 个 密码 
写 人 /etc/group。 

以 下 情况 必须 建立 新 组 : 可 能 要 增加 新 用 户 ,该 用 户 不 属于 任何 一 个 现 有 的 小 组 ;有 
的 用 户 可 能 时 常 需要 独自 为 一 个 小 组 ;有 的 用 户 可 能 有 一 个 SGID 程序 ,需要 独自 为 一 个 
小 组 ;有 时 可 能 要 安装 运行 SGID 的 软件 系统 ,该 软件 系统 需要 建立 一 个 新 组 。 要 增加 一 
个 新 组 ,必须 编辑 该 文件 ,为 新 组 加 一 个 人 口 项 。 由 于 用 户 登 录 时 ,系统 从 /etc/passwd 
文件 中 取 GID, 而 不 是 从 /etc/group 中 取 GID, 所 以 ,group 文件 和 密码 文件 应 当 具 有 一 
致 性 。 对 于 一 个 用 户 的 小 组 ,UID 和 GID 应 当 是 相同 的 。 多 用 户 小 组 的 GID 应 当 不 同 
于 任何 用 户 的 UID ,一 般 为 5 位 数 ,这 样 在 查看 /etc/passwd 文件 时 ,就 可 根据 5 位 数据 
的 GID 识别 多 用 户 小 组 ,这 将 减少 增加 新 组 及 新 用 户 时 可 能 产生 的 混淆 。 


443 增加 、 删 除 、 移 走 用 户 


1. 增加 用 户 


增加 用 户 有 三 个 过 程 : 首先 在 /etc/passwd 文件 中 写 和 人 新 用 户 的 入 口 项 ,然后 为 新 登 
录用 户 建立 一 个 HOME 目录 .最 后 在 /etc/group 中 为 新 用 户 增加 一 个 入口 项 。 在 /etc/ 
passwd 文件 中 写 和 新 的 入 口 项 时 ,密码 部 分 可 先 设置 为 NOLOGIN, 以免 有 人 作为 此 新 
用 户 登录 。 在 修改 文件 前 ,应 mkdir/etc/ptmp ,以 免 他 人 同时 修改 此 文件 。 新 用 户 一 般 
独立 为 一 个 新 组 ,GID 号 与 UID 号 相同 (除非 他 要 加 入 目前 已 存在 的 一 个 组 ),UID 号 必 
须 和 其 他 人 不 同 , HOME 目录 一 般 在 /usr 或 /home 目录 下 建立 一 个 以 用 户 登 录 名 为 名 
称 的 目录 作为 其 主 目录 。 


2. 删除 用 户 


删除 用 户 与 加 用 户 的 工作 正好 相反 ,首先 在 /etc/passwd 和 /etc/group 文件 中 删除 
用 户 的 入 口 项 ,然后 删除 用 户 的 HOME 目录 和 所 有 文件 。 用 rm -r /usr/loginname 删除 
整个 目录 树 。 如 果 用 户 在 /usr/spool/cron/crontabs 中 有 crontab 文件 ,也 应 当 删 除 。 


3. 将 用 户 移 到 另 一 个 系统 


这 是 一 个 复杂 的 问题 ,不 只 是 复制 用 户 的 文件 和 用 户 在 /etc/passwd 文件 中 的 入 口 
项 。 首先 一 个 问题 是 用 户 的 UID 和 GID 可 能 已 经 用 于 另 一 个 系统 ,若是 出 现 这 种 情况 ， 
必须 给 要 转移 的 用 户 分 配 另 外 的 UID 和 GID。 如 果 改 变 了 用 户 的 UID 和 GID, 则 必须 
搜索 该 用 户 的 全 部 文件 ,将 文件 的 原 UID 和 GID 改 成 新 的 UID 和 GID。 用 find 命令 可 
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以 完成 这 一 修改 。 

find -user olduid -exec chom newuid {} 

find -group oldgid -exec hgrp newgid {} 

也 许 还 要 为 用 户 移 走 其 他 一 些 文件 ,如 /usr/mail/user 和 /usr/spool/cron/crontabs/ 
user。 如 果 用 户 从 一 个 不 是 本 系统 管理 员 的 系统 移 来 , 则 应 对 该 用 户 的 目录 结构 运行 程 
序 来 检查 。 一 个 不 安全 系统 的 用 户 , 可 能 有 与 该 用 户 其 他 文件 存在 一 起 的 SUIU/SGID 
程序 ,而 这 个 SUID/SGID 程序 属于 另 一 个 用 户 。 在 这 种 情况 下 ,如果 用 cpio 或 tar 命令 
将 用 户 的 目录 结构 复制 到 本 系统 ,SUID/SGID 程序 也 将 会 复制 到 本 系统 而 没有 任何 警 
告 信息 。 应 当 在 允许 用 户 使 用 新 系统 以 前 先 删除 这 种 文件 的 SUID/SGID 许可 。 总 之 ， 
始终 坚持 检查 所 移 用 户 的 文件 总 是 更 安全 些 。 也 可 以 用 su 命令 进入 用 户 的 户头 ,再 复 
制 用 户 文件 ,这样 文 件 的 所 有 者 就 是 该 用 户 ,而 不 是 root。 
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像 find 和 secure 这 样 的 程序 称 为 检查 程序 ,它们 搜索 文件 系统 ,寻找 出 SUID/SGID 
文件 .设备 文件 .任何 人 可 写 的 系统 文件 ` 设 有 密码 的 登录 用 户 . 具 有 相同 UID/GID 的 用 


户 等 。 
1. 记 账 


UNIX 记 账 软件 包 可 用 作 安 全 检查 工具 , 除 最 后 登录 时 间 的 记录 外 , 记 账 系统 还 能 
保存 全 天 运行 的 所 有 进程 的 完整 记录 。 对 于 一 个 进程 所 存储 的 信息 包括 UID、 命 令 名 、 
进程 开始 执行 与 结束 的 时 间 、CPU 时 间 和 实际 消耗 的 时 间 、 该 进程 是 否 是 root 进程 等 ， 
这 将 有 助 于 系统 管理 员 了 解 系统 中 的 用 户 在 干什么 。acctcom 命令 可 以 列 出 一 天 的 账目 
表 。 有 时 ,系统 中 有 多 个 记 账 数据 文件 , 记 账 信息 保存 在 文件 /usr/adm/pacct * 中 ,/usr/ 
adm/pacct 是 当前 记录 文件 ,/usr/adm/pacctn 是 以 前 的 记 账 文件 Cn 为 整 型 数 ) 。 若 有 若 
干 个 记 账 文件 要 查看 ,可 在 acctcom 命令 中 指定 文件 名 : acctcom/usr/adm/pacct?。/ 
usr/adm/paect 要 检查 问题 的 其 中 之 一 是 在 acctcom 的 输出 中 查找 一 个 用 户 过 多 的 登录 
过 程 ,车 有 , 则 说 明 可 能 有 人 一 遍 遍 地 尝试 登录 ,猜测 密码 ,企图 非法 进入 系统 。 此 外 ,还 
应 查看 root 进程 ,除了 系统 管理 员 用 su 命令 从 终端 进入 root、 系 统 启动 、 系 统 停止 时 间 
以 及 由 init( 通 常 init 只 启动 getty、login、 登 录 shell) .cron 启动 的 进程 和 具有 root SUID 
许可 的 命令 外 ,不 应 当 有 任何 root 进程 。 由 记 账 系统 也 可 获得 有 关 每 个 用 户 的 CPU 利 
用 率 .运行 的 进程 数 等 统计 数据 。 

2. 其 他 检查 命令 

du: 报告 在 层次 目录 结构 (当前 工作 目录 或 指定 目录 起 ) 中 各 目录 占用 的 磁盘 块 数 ， 
可 用 于 检查 用 户 对 文件 系统 的 使 用 情况 。 


df: 报告 整个 文件 系统 当前 的 空间 使 用 情况 。 可 用 于 合理 调整 磁盘 空间 的 使 用 和 
管理 。 
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ps: 检查 当前 系统 中 正在 运行 的 所 有 进程 。 对 于 用 了 大 量 CPU 时 间 的 进程 同时 运 
行 了 许多 进程 的 用 户 及 运行 了 很 长 时 间 但 用 了 很 少 CPU 时 间 的 用 户 进程 应 当 深 入 检 
查 。 还 可 以 查 出 运行 了 一 个 无 限制 循环 的 后 台 进 程 的 用 户 和 未 注销 户头 就 关 终 端的 用 
户 ( 一 般 发 生 在 直接 连 线 的 终端 ) 。 

who: 可 以 告诉 系统 管理 员 系 统 中 工作 的 进展 情况 等 信息 ,检查 用 户 的 登录 时 间 和 
登录 终端 。 

su: 每 当 用 户 试 图 使 用 SU 命令 进入 系统 用 户 时 ,命令 将 在 /usr/adm/sulog 文件 中 
写 一 条 信息 。 若 该 文件 记录 了 大 量 试图 用 su 进入 root 的 无 效 操作 信息 , 则 表明 了 可 能 
有 人 企图 破译 root 密码 。 

login: 在 一 些 系 统 中 ,login 程序 记录 了 无 效 的 登录 企图 。 若 本 系统 的 login 程序 不 
做 这 项 工作 而 系统 中 有 login 源 程 序 , 则 应 修改 login。 每 天 总 有 少量 的 无 效 登 录 , 若 无 
效 登录 的 次 数 突然 增加 了 两 倍 , 则 表明 可 能 有 人 企图 通过 猜测 登录 名 和 密码 ,非法 进入 
系统 。 

最 重要 的 是 系统 管理 员 越 熟悉 自己 的 用 户 和 用 户 的 工作 习惯 ,就 越 能 快速 发 现 系 统 
中 任何 不 寻常 的 事件 ,而 不 寻常 的 事件 意味 着 系统 已 被 人 窃 密 。 


3. 安全 检查 程序 的 问题 


若 有 诱骗 , 则 这 些 方 法 中 没有 几 个 能 防 诱骗 。 如 find 命令 ,如 果 碰 到 路 径 名 长 于 256 
个 字符 的 文件 或 含有 多 于 200 个 文件 的 目录 ,将 放弃 处 理 该 文件 或 目录 ,用 户 就 有 可 能 
利用 建立 多 层 目录 结构 或 大 目录 隐藏 SUID 程序 ,使 其 逃避 检查 。 但 find 命令 会 给 出 一 
个 错误 信息 ,系统 管理 员 应 手工 检查 这 些 目录 和 文件 。 也 可 用 ncheck 命令 搜索 文件 系 
统 ,但 它 没有 find 命令 指定 搜索 哪 种 文件 的 功能 。 如 果 定 期 存 取 profile 文件 , 则 检查 久 
未 登录 用 户 的 方法 就 不 奏效 了 。 而 用 户 用 su 命令 时 ,除非 用 参数 “-”, 和 否则 su 不 读 用 户 
的 profile。 

有 三 种 方法 可 寻找 久未 登录 的 账户 。 

UNIX 记 账 系统 在 文件 /usr/adm/acct/sum/login 中 为 每 个 用 户 保留 了 最 后 一 次 登 
录 日 期 。 用 这 个 文件 的 好 处 是 该 文件 由 系统 维护 ,所 以 可 完全 肯定 登录 日 期 是 准确 的 。 
缺点 是 必须 在 系统 上 和 运行 记 账 程序 以 更 新 loginlog 文件 ,如 果 在 清晨 (午夜 后 ) 运 行 记 账 
程序 ,一 天 的 登录 日 期 可 能 就 被 清除 了 。 

/etc/passwd 文件 中 的 密码 时 效 域 将 能 告诉 系统 管理 员 , 用 户 的 密码 是 否 过 期 了 。 
若 过 期 , 则 意味 着 自 过 期 以 来 ,户头 再 未 被 用 过 。 这 一 方法 的 好 处 在 于 系统 记录 了 久未 
用 的 户头 ,检查 过 程 简单 , 且 不 需要 记 账 系统 所 需要 的 磁盘 资源 。 缺 点 是 也 许 系 统管 理 
员 不 想 在 系统 上 设置 密码 时 效 ,而 且 这 一 方法 仅 在 密码 的 最 大 有 效 期 (只 有 几 周 ) 才 是 准 
确 的 。 

系统 管理 员 可 以 写 一 个 程序 ,每 天 和 重新 引导 系统 时 扫描 /etc/wtmp ,自己 保留 下 用 
户 最 后 登录 时 间 记 录 。 这 一 方法 的 好 处 是 不 需要 记 账 程序 ,并 且 时 间 准 确 , 缺 点 是 要 自 
已 写 程序 。 

以 上 任何 方法 都 可 和 /usr/adm/sulog 文件 结合 起 来 , 查 出 由 login 或 su 登录 户头 的 
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最 后 登录 时 间 。 如 果 有 人 存心 破坏 系统 安全 ,第 一 件 要 做 的 事 就 是 寻找 检查 程序 。 破 坏 
者 将 修改 检查 程序 ,使 其 不 能 报告 任何 异常 事件 ,也 可 能 停止 系统 记 账 ,删除 记 账 文件 ， 
使 系统 管理 员 不 能 发 现 破坏 者 干 了 些 什么 。 


4. 系统 泄密 后 怎么 办 ? 


发 现 有 人 已 经 破坏 了 系统 安全 的 时 候 , 系 统管 理 员 首先 应 做 的 是 面 对 後 事 用 户 。 如 
果 该 用 户 所 做 的 事 不 是 蓄意 的 ,而 且 公 司 没有 关于 “破坏 安全 ”的 规章 ,也 未 造成 损坏 , 则 
系统 管理 员 只 需 清理 系统 ,并 留心 该 用 户 一 段 时 间 。 如 果 该 用 户 造 成 了 某 些 损坏 , 则 应 
当 报 告 有 关 人 士 , 并 且 应 尽 可 能 地 将 系统 恢复 到 原来 的 状态 。 如 果 後 事 者 是 非 授 权 用 
户 , 那 就 表明 後 事 者 已 设法 成 为 root 且 本 系统 的 文件 和 程序 已 经 泄密 了 。 

系统 管理 员 应 当 想 法 查 出 谁 是 牧 事 者 ,他 造成 了 什么 损坏 ? 还 应 当 对 整个 文件 做 一 
次 全 面 的 检查 ,并 不 只 是 检查 SUID 和 SGID 及 设备 文件 。 如 果 系 统 安全 被 一 个 敌对 的 
用 户 破坏 了 ,应 当 采 用 下 面 的 步 又。 

(1) 关系 统 , 然 后 重新 引导 ,不 要 进入 多 用 户 方式 ,进入 单 用 户 方式 。 安 装 含有 本 系 
统 原 始 UNIX 版 本 的 磁带 和 软盘 。 将 /bin、/usr/bin、/etc、/usr/lib 中 的 文件 复制 到 一 个 
暂 存 目录 中 ,将 暂 存 目录 中 所 有 文件 的 校 验 和 (用 原始 版 本 的 sum 程序 复制 作 校 验 和 ,不 
要 用 /bin 中 的 sum 程序 作 ) 与 系统 中 所 有 对 应 的 文件 的 校 验 和 进行 比较 ,如 果 有 任何 差 
别 ,要 查 清 差别 产生 的 原因 。 如 果 两 个 校 验 和 不 同 , 是 由 于 安装 了 新 版 本 的 程序 ,确认 一 
下 是 否 的 确 是 安装 了 新 版 本 程序 。 如 果 不 能 找 出 校 验 和 不 同 的 原因 ,用 暂 存 目 录 中 的 命 
令 替 换 系 统 中 的 原 有 命令 。 在 确认 系统 中 的 命令 还 未 被 算 改 之 前 ,不 要 用 系统 中 原 命 
令 。 用 和 暂 存 目 录 中 的 shell ,并 将 PATH 设置 为 仅 在 暂 存 目录 中 搜索 命令 。 根 据 暂 存 目 
录 中 所 有 系统 命令 的 存 取 许可 ,检查 系统 中 所 有 命令 的 存 取 许可 和 所 有 系统 目录 的 存 取 
许可 。 如 果 用 了 perms, 检 查 permlist 文件 是 否 被 算 改 过 。 如 果 系 统 UNIX(/unix) 的 校 
验 和 不 同 于 原版 的 校 验 和 ,并 且 系 统管 理 员 从 未 修改 过 内 核 , 则 应 当 认 为 非法 者 “很 能 
干 ”, 从 暂 存 缓冲 区 重新 装 和 系统。 系统 管理 员 可 以 从 逐步 增加 的 文件 系统 备份 中 恢复 
用 户 的 文件 ,但 是 在 检查 备份 中 的 有趣" 文件 之 前 ,不 能 做 文件 恢复 。 

(2) 改变 系统 中 的 所 有 密码 ,通知 用 户 他 们 的 密码 已 改 , 应 找 系统 管理 员 得 到 新 
密码 。 

(3) 当 用 户 来 要 新 密码 时 ,告诉 用 户 发 生 了 一 次 安全 事故 ,他们 应 查看 自己 的 文件 和 
目录 是 否 潜伏 着 危害 (如 SUID 文件 ,特洛伊 木马 ,任何 人 可 写 的 目录 ), 并 报告 系统 管理 
员 任 何 异乎 寻常 的 情况 。 

(4) 设法 查 清 安全 破坏 是 如 何 发 生 的 。 如 果 没 有 黎 事 者 ,说 明 这 也 许 是 不 可 能 和 弄 清 
的 。 如 果 能 发 现 後 事 者 如 何 进 入 系统 ,设法 堵 住 这 个 安全 漏洞 。 第 一 次 安装 UNIX 系统 
时 ,可 以 将 shell、sum 命令 ,所 有 文件 的 校 验 和 存放 在 安全 的 介质 上 (磁带 、 软 盘 、 硬 盘 和 
任何 可 以 秃 下 并 锁 起 来 的 介质 )。 于 是 不 必 再 从 原版 系统 磁带 上 重新 装 入 文件 ,可 以 安 
装备 份 介质 , 装 入 shell 和 sum, 将 存在 磁带 上 的 校 验 和 与 系统 中 文件 的 校 验 和 进行 比 
较 。 系 统管 理 员 也 可 以 自己 写 一 个 计算 校 验 和 的 程序 ,破坏 者 将 不 能 知道 该 程序 的 算 
法 。 如 果 将 该 程序 及 校 验 和 保存 在 磁带 上 ,这 一 方法 的 保密 问题 就 减 小 到 一 个 物理 的 安 
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全 问题 , 即 只 需 将 磁带 锁 起 来 。 
445 安全 意识 
1. 用 户 安全 意识 


UNIX 系统 管理 员 的 职责 之 一 是 保证 用 户 安全 ,这 其 中 一 部 分 工作 是 由 用 户 的 管理 
部 门 来 完成 。 但 是 作为 系统 管理 员 , 有 责任 发 现 和 报告 系统 的 安全 问题 ,因为 系统 管理 
员 负 责 系统 的 运行 。 

避免 系统 安全 事故 的 方法 是 预防 性 的 , 当 用 户 登 录 时 ,其 shell 在 给 出 提示 前 先 执 
行 /etc/profile 文件 ,要 确保 该 文件 中 的 PATH 指定 最 后 搜索 当前 工作 目录 ,这 样 将 减少 
用 户 能 运行 特洛伊 木马 的 机 会 。 将 文件 建立 屏蔽 值 的 设置 放 在 该 文件 中 也 是 很 合适 的 ， 
可 将 其 值 设置 成 至 少 要 防止 用 户 无 意 中 建 立 任何 人 都 能 写 的 文件 。 要 小 心 选择 此 值 ,如 
果 限 制 太 严 , 则 用 户 会 在 自己 的 profile 中 重新 调用 umask 以 抵制 系统 管理 员 的 意愿 ,如 
果 用 户 大 量 使 用 小 组 权限 共享 文件 ,系统 管理 员 就 要 设置 限制 小 组 存 取 权 限 的 屏蔽 值 。 
系统 管理 员 必 须 建 立 系统 安全 和 用 户 的 “痛苦 量 ” 间 的 平衡 (痛苦 量 是 安全 限制 引起 的 愤 
怒 的 函数 ) 。 

定期 地 用 grep 命令 查看 用 户 profile 文件 中 的 umask, 可 了 解 系统 安全 限制 是 否 超 
过 了 用 户 痛 苦 极 限 。 系 统管 理 员 可 每 星期 随机 抽 选 一 个 用 户 ,将 该 用 户 的 安全 检查 结果 
(用 户 的 登录 情况 简报 和 SUID/SGID 文件 列表 等 ) 发 送 给 他 的 管理 部 门 和 他 本 人 。 主 要 
有 四 个 目的 : 大 多 数 用 户 会 收 到 至 少 有 一 个 文件 检查 情况 的 邮件 .这 将 引起 用 户 考虑 安 
全 问题 (虽然 并 不 意味 着 用 户 们 会 采取 加 强 安全 的 行动 ); 有 大 量 可 写 文件 的 用 户 , 将 一 
星期 得 到 一 次 邮件 ,直到 他 们 取消 可 写 文 件 的 写 许 可 为 止 。 宛 长 的 烦人 的 邮件 信息 也 许 
足以 促使 这 些 用 户 采取 措施 ,删除 文件 的 写 许 可 ;邮件 将 列 出 用 户 的 SUID 程序 ,引起 用 
户 注意 自己 有 SUID 程序 ,使 用 户 知 道 是 否 有 不 是 自己 建立 的 SUID 程序 ; 送 安 全 检查 表 
可 供用 户 管理 自己 的 文件 ,并 使 用 户 知道 对 文件 的 管理 关系 到 数据 安全 。 如 果 系 统管 理 
员 打 算 这 样 做 ,应 事先 让 用 户 知道 ,以 便 他 们 了 解 安全 检查 邮件 的 目的 。 发 送 邮 件 是 让 
用 户 具 有 安全 意识 ,不 要 抱怨 发 送 邮件 。 

管理 意识 是 提高 安全 性 的 另 一 个 重要 因素 。 如 果 用 户 的 管理 部 门 对 安全 要 求 不 强 
烈 ,系统 管理 员 可 能 也 忘记 强化 安全 规则 。 最 好 让 管理 部 门 建立 一 套 每 个 人 都 必须 遵守 
的 安全 标准 ,如 果 系 统管 理 员 在 此 基础 上 再 建立 自己 的 安全 规则 ,就 强化 了 安全 。 管 理 
有 助 于 加 强 用 户 意识 ,让 用 户 明确 ,信息 是 有 价值 的 资产 。 

系统 管理 员 应 当 使 安全 保护 方法 对 用 户 尽 可 能 地 简单 ,提供 一 些 提 高 安全 的 工具 ， 
如 公布 锁 终 端的 lock 程序 ,让 用 户 自己 运行 secure 程序 ;将 pwexp( 检 查 用 户 密码 信息 的 
程序 ) 放 入 /etc/profile 中 ,使 用 户 知道 自己 的 密码 时 间 。 多 教 给 用 户 一 些 关于 系统 安全 
的 知识 ,确保 用 户 知道 自己 的 许可 权限 和 umask 命令 的 设置 值 。 如 果 注 意 到 用 户 在 做 蠢 
事 时 ,就 给 他 们 一 些 应 当 怎样 做 才 对 的 提示 。 用 户 知道 的 关于 安全 的 知识 越 多 ,系统 管 
理 员 在 保护 用 户 利益 方面 做 的 事 就 越 少 。 
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2. 保持 系统 管理 员 个 人 的 登录 安全 


若 系统 管理 员 的 登录 密码 泄密 了 , 则 窃 密 者 离 窃取 root 只 有 一 步 之 肥 了 。 因 为 系统 
管理 员 经 常 作为 root 运行 , 窃 密 者 非法 进入 到 系统 管理 员 的 户头 后 ,将 用 特洛伊 木马 蔡 
换 系 统管 理 员 的 某 些 程序 ,系统 管理 员 会 作为 root 运行 这 些 已 被 替换 的 程序 。 正 是 因为 
这 个 原因 ,在 UNIX 系统 中 ,管理 员 的 账户 最 常 受到 攻击 。 即 使 su 命令 通常 要 在 任何 都 
不 可 读 的 文件 中 记录 所 有 想 成 为 root 的 企图 ,还 可 用 记 账 数据 或 ps 命令 识别 运行 su 命 
令 的 用 户 。 也 正 是 如 此 ,系统 管理 员 作 为 root 运行 程序 时 应 当 特 别 小 心 , 因 为 最 微小 的 
朴 忽 也 可 能 “沉船 >。 下 列 一 些 指导 规则 可 使 系统 管理 员 驾 驶 一 稻 * 坚 固 的 船 ”。 

(1) 不 要 作为 root 或 以 自己 的 登录 账户 运行 其 他 用 户 的 程序 ,首先 用 su 命令 进入 
用 户 的 账户 。 

(2) 绝 不 要 把 当前 工作 目录 排 在 PATH 路 径 表 的 前 边 ,那样 实际 是 在 招引 特洛伊 木 
马 。 当 系统 管理 员 用 su 命令 进入 root 时 ,他 的 PATH 将 会 改变 ,就 让 PATH 保持 这 
样 ,以 避免 特洛伊 木马 的 侵入 。 输 入 /bin/su 执行 su 命令 。 若 有 su 源码 ,将 其 改 成 必须 
用 全 路 径 名 运行 , 即 su 要 确认 argv[0j 的 头 一 个 字符 是 “/” 才 运行 。 随 着 时 间 的 推移 ,用 
户 和 管理 员 将 养 成 输入 /bin/su 的 习惯 。 不 要 未 注销 户头 就 离开 终端 ,特别 是 作为 root 
用 户 时 更 不 能 这 样 。 当 系统 管理 员 作 为 root 用 户 时 ,命令 提示 符 是 "#”, 这 个 提示 符 对 
某 些 人 来 说 可 能 是 个 红 灯 标 志 。 

(3) 不 允许 root 在 除 控制 台 外 的 任何 终端 登录 (这 是 login 的 编译 时 的 选项 )。 如 果 
没有 login 源码 ,就 将 登录 名 root 改 成 别 的 名 ,使 破坏 者 不 能 在 root 登录 名 下 猜测 各 种 
可 能 的 密码 ,从 而 非法 进入 root 的 户头 。 还 要 经 常 改变 root 的 密码 。 确 认 su 命令 记 下 
的 想 运 行 su 企图 的 记录 /usr/adm/sulog, 该 记录 文件 的 许可 方式 是 600, 并 属 root 所 有 。 
这 是 非法 者 喜欢 选择 来 替换 成 特洛伊 木马 的 文件 。 不 要 让 某 人 作为 root 运行 ,即使 是 几 
分 钟 或 是 系统 管理 员 在 一 旁 注视 着 也 不 行 。 


3. 保持 系统 安全 


要 考虑 系统 中 一 些 关键 的 薄弱 环节 : 系统 是 否 有 MODEM? 电话 号 码 是 否 公布 ? 
系统 是 否 连接 到 ? 还 有 什么 系统 也 连接 到 该 网 络 ? 系统 管理 员 是 否 使 用 未 知 来 处 或 来 
处 不 可 靠 的 程序 ? 系统 管理 员 是 否 将 重要 信息 放 在 系统 中 ? 系统 的 用 户 是 熟悉 系统 的 
使 用 还 是 新 手 ?” 用 户 是 否 很 重视 关心 安全 ?用 户 的 管理 部 门 是 否 重视 安全 ? 

保持 系统 文件 安全 的 完整 性 。 检 查 所 有 系统 文件 的 存 取 许 可 ,任何 具有 SUID 许可 
的 程序 都 是 非法 者 想 偷 换 的 选择 对 象 。 要 特别 注意 设备 文件 的 存 取 许 可 。 要 审查 用 户 
目录 中 具有 系统 ID/ 系 统 小 组 的 SUID/SGID 许可 的 文件 。 在 未 检查 用 户 的 文件 系统 的 
SUID/SGID 程序 和 设备 文件 之 前 ,不 要 安装 用 户 的 文件 系统 。 将 磁盘 的 备份 存放 在 安 
全 的 地 方 。 设 置 密码 时 效 ,如 果 能 存 取 UNIX 的 源码 ,将 加 密 密 码 和 信息 移 到 仅 对 root 
可 读 的 文件 中 ,并 修改 系统 的 密码 处 理子 程序 ,这 样 可 增加 密码 的 安全 。 修 改 passwd ,使 
passwd 能 删 去 密码 打头 和 末尾 的 数字 .然后 根据 spell 词典 和 /etc/passwd 中 用 户 的 个 
人 信息 ,检查 用 户 的 新 密码 ,也 检查 用 户 新 密码 中 子 串 等 于 登录 名 的 情况 。 如 果 新 密码 
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是 spell 词典 中 的 单词 .或 /etc/passwd 中 的 入 口 项 的 某 项 值 ,或 是 登录 名 的 子 串 ,passwd 
将 不 允许 用 户 改 变 密码 。 记 录 本 系统 的 用 户 及 其 授权 使 用 的 系统 。 查 出 久未 使 用 的 登 
录 户 头 , 并 取消 该 户头 。 确 保 没 有 无 密码 的 登录 户头 。 启 动 记 账 系 统 。 查 出 不 寻常 的 系 
统 使 用 情况 ,如 大 量 的 占用 磁盘 ,大量 的 使 用 CPU 时 间 、 大 量 的 进程 .大 量 的 使 用 su 的 
企图 ,大 量 无 效 的 登录 ,大量 的 到 某 一 系统 的 网 络 传输 及 奇怪 的 uucd 请 求 等 。 修 改 
shell ,使 其 等 待 了 一 定时 间 而 无 任务 时 终止 运行 。 修 改 login, 使 其 打印 出 用 户 登 录 的 最 
后 时 间 ,三 次 无 效 登 录 后 ,将 通信 线 挂 起 ,以 便 系统 管理 员 能 检查 出 是 否 有 人 试图 非法 进 
人 和 人 系统。 确保 login 不 让 root 在 除 控制 台 外 的 任何 地 方 登录 。 修 改 su, 使 得 只 有 root 能 
以 过 期 密码 通过 su 进入 某 一 户头 。 当 安装 来 源 不 可 靠 的 软件 时 ,要 检查 源码 和 makefile 
文件 ,查看 特殊 的 子 程序 调用 或 命令 。 即 使 是 安装 来 源 可 靠 的 软件 ,也 要 检查 是 否 有 
SUID(SGID) 程 序 , 确 认 这 些许 可 的 确 是 必要 的 。 如 果 可 能 ,不 要 让 这 些 程 序 具 有 系统 
ID( 或 组 ) 的 SUID(SGID) 许 可 ,而 应 该 建立 一 个 新 用 户 ( 或 给 ) 供 该 软件 运行 。 

如 果 系 统 在 办 公 室 中 ,将 secure、perms 和 任何 其 他 做 安全 检查 的 shell 程序 存 取 许 
可 设 为 仅 执行 ,更 好 的 是 将 这 些 shell 程序 存 于 可 移动 的 介质 上 。 

注意 : 只 要 系统 有 任何 人 都 可 调用 的 拨号 线 , 系 统 就 不 可 能 真正 的 安全 。 系 统管 理 
员 可 以 很 好 地 防止 系统 受到 偶然 的 破坏 。 但 是 那些 有 耐心 有 计划 、 知 道 自己 在 干什么 
的 破坏 者 ,对 系统 直接 的 有 预谋 的 攻击 却 常常 能 成 功 。 如 果 系 统管 理 员 认为 系统 已 经 泄 
密 , 则 应 当 设法 查 出 常事 者 。 若 营 事 者 是 本 系统 的 用 户 , 与 用 户 的 管理 部 门 联系 ,并 检查 
该 用 户 的 文件 ,查找 任何 可 疑 的 文件 ,然后 对 该 用 户 的 登录 小 心地 监督 几 个 星期 。 如 果 
常事 者 不 是 本 系统 的 用 户 , 可 让 本 公司 采取 合法 的 措施 ,并 要 求 所 有 的 用 户 改变 密码 ,让 
用 户 知道 出 了 安全 事故 。 让 用 户 们 检查 自己 的 文件 是 否 有 被 纂 改 的 迹象 。 如 果 系 统管 
理 员 认为 系统 软件 已 被 更 改 了 ,就 应 当 从 原版 系统 (或 光盘 ) 上 重 装 入 所 有 系统 软件 , 保 
持 系统 安全 比 道歉 更 好 。 


446 UNX 服 务 裁减 


1. inetd 


编辑 /etc/inetd. conf 文件 ,注释 掉 所 有 不 需要 的 服务 (在 注释 行 开始 加 入 * #”)。 

其 中 可 以 被 注释 的 一 些 比较 有 代表 性 的 服务 有 : shell login、 exec、 talk、combat、 
uucp \tftp ,finger、netstat ,ruserd,sprayd、walld、rstatd、cmsd,ttdbserverd 等 ,可 以 仅 保留 
需要 使 用 的 telnet、FTP、DNS(in. named) 等 。 需 要 特别 注意 solaris 系统 自身 携带 的 
DNS(in. named) .FTP、POP、IMAP 等 主要 服务 均 有 问题 。 

注释 掉 服 务 后 可 以 运行 下 列 命令 将 inetd 服务 重启 。 

Ps -ef | grep inetd 

使 用 命令 获取 inetd 服务 的 进程 号 pid。 

Kill -9pid 


使 用 命令 杀 死 inetd 进程 。 
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/usr/sbin/inetd-s 
使 用 命令 启动 inetd 服务 。 
下 面 列 出 常用 solaris 版 本 的 inetd. conf 文件 的 解释 。 


Sunos 5.5: 
name dram udp wait root /usr/sbin/in.inamed in.tnamed 


实现 DARPA 名 字 服 务 协 议 的 服务 器 程序 ,一 般 可 以 被 注释 。 

ftp stream tap nowait root /usr/sbin/in.ftpd in.ftpd 

实现 文件 传输 协议 的 服务 器 程序 ,一 般 保留 ,除非 服务 器 不 提供 ftp 服务 。 
telnet streamt top nowait root /usr/sbin/in.telnetd in.telnetd 

实现 telnet 协议 的 服务 器 程序 ,一 般 保 留 ,除非 服务 器 不 提供 远程 登录 服务 。 
shell stream tap nowait root /usr/sbin/in.rshd in.rshd 

远程 shell 服务 ,一般 可 以 被 注释 (远程 登录 服务 ,上 一 项 telnet 即 可 以 实现 ) 。 
login stream tep nowait root /usr/sbin/in.rloglnd in.rlogind 

远程 注册 服务 ,一 般 保 留 ,除非 服务 器 不 提供 远程 登录 服务 。 

exec streamtoap nowait root /usr/sbin/in.rexeod in.rexeod 

远程 执行 服务 ,一般 保留 ,除非 服务 器 不 提供 远程 登录 服务 。 

Comsat dgram udp wait root /usr/sbin/in.omsat in.omsat 

监听 邮件 到 来 ,提醒 用 户 收 邮件 的 服务 ,一般 可 以 被 注释 。 

talk dgram up wait root /usr/sbin/in.talkd in.talkd 

提供 talk 服务 ,一般 可 以 被 注释 。 

wp ”stream tqp nowait root /usr/sbin/in.uqpd in.uncpd 

实现 UINX 到 UNIX 的 文件 复制 ,已 经 被 ftp 所 代替 ,一 般 可 以 被 注释 。 
Hoot dgram up wait root /usr/sbin/in.tftpd in.tftpd - s/tft 

实现 内 部 文件 传输 服务 ,一 般 可 以 被 注释 (系统 默认 值 为 不 启动 ) 。 

finger stream tap nowit ”ncbody /usr/sbin/in.fingerd in.fingerd 

提供 显示 本 地 和 远程 用 户 的 服务 ,一 般 可 以 被 注释 。 

systat streamtop nowait root /usr/bin/ps ps -ef 

向 远 端 显 示 本 地 运行 的 进程 ,一 般 可 以 被 注释 。 

netstat streamtoqp nowait root /usr/bin/netstat netstat - f inet 


向 远 端 显示 本 地 网 络 状 态 ,一 般 可 以 被 注释 。 


210 Mainats ssnnt 


tim stream taqp nowait root intemal 
tim dgram udp wait root intemal 


用 作 时 钟 同步 ,一 般 可 以 被 注释 。 


echo stream top nowait root intemal 

echo dqram udp wait root intemal 

discard stream tqp nowait root intermal 
discard dgram udp wait root intemal 
Gaytime stream taqp nowait root intemal 
daytimre dgram udp wait root intemal 
Chargen ”Stream taqp nowait root intemal 
chargen dgram udp wait root intemal 


上 述 这 些 服务 都 是 测试 的 时 候 使 用 ,一 般 均 可 以 被 注释 。 

100232/10 tli Ipc/udp wait root /usr/sbin/sadmind sadmind 

分 布 式 系 统管 理 守护 进程 ,存在 漏洞 较 多 ,应 尽量 不 启动 这 个 服务 。 

raquotad/l tli rpc/datagramv wait root /usr/lib/nfs/rquotad rquotad 

远程 定额 服务 ,一 般 可 以 被 注释 。 

rusersd/2-3 tli rpc/datagram Vcircuit v wait root /usr/lib/nets c/rusers/rpc.rusersd rpc.rusersd 
网 络 用 户 名 服务 ,提供 用 户 名 列表 ,一 般 可 以 被 注释 。 

sprayd/l tli rpc/datagramv wait root /usr/lib/netsvc/spray/rpc.spra yd rpc.sprayd 
提供 记录 spray 收发 包 的 记录 ,一 般 可 以 被 注释 。 

mpc:malld rpc.rwalldi rpc/datagramv wait root /usr/lib/netsvc/rwall/ 

处 理 rwall 请 求 ,一般 可 以 被 注释 。 

rstatd/24 tli rpc/datagramv wait root /usr/lib/netsvc/rstat/rpc.rstatd rpc.rstatd 
显示 内 核 状 态 , 是 一 个 rpc 服务 ,在 安全 要 求 较 高 的 情况 下 应 被 注释 。 

rexd/l tli rpc/tp wait root /usr/sbin/rpc.rexd rpc.rexd 

基于 rpc 的 远程 执行 服务 ,在 安全 要 求 较 高 的 情况 下 应 被 注释 。 


00060/24 dogram rpc/udp wait root /usr/copenwin/bin/rpc.anmsd rpc.ansd 
Sun ToolTalk Database Serverp wait root /usr/openwin/bin/rpc.ansd rpc.amsd 


日 历 管理 服务 ,rpc 服务 ,一般 可 以 被 注释 。 

Tverd83/1 stream 1pc/top wait root /usr/dt/bin/rpc.ttdbserverd rpc.ttdbserverd 
基于 rpc 的 ToolTalk 数据 库 服务 ,一 般 可 以 被 注释 。 

VEr0221/1 tli mc/top wait root /usr/openwin/bin/koms server kams server 
KCMS 库 服务 守护 进程 ,一 般 可 以 被 注释 。 
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fs stream top wait nobody /usr/operwin/lib/fs.auto fs 

X 字体 服 务 ,一般 可 以 被 注释 ,除非 启动 了 X Window 服务 。 

netbiosns dgram udp wait root /usr/local/sanba/rmibd mbd 

一 般 可 以 被 注释 。 

Pop3 streamtop nowait root /export/netmgr/qpopper?.2/popper solaris2popper solaris2 

一 般 可 以 被 注释 ,除非 系统 作为 mail 服务 器 ,务必 及 时 更 新 POP3 的 版 本 。 

SunOS 5. 6 版 本 与 SunOS 基本 相同 ,inet. conf 文件 中 多 以 下 条 目 。 

ufsd/l tli rpc/* wait Ioot /usr/lib/fs/ufs/ufsd ufsdp 

UFS-aware 服务 守护 进程 ,一 般 可 以 被 注释 。 

100235/1 tli rpc/top wait root /usr/lib/fs/cachefs/cachefsd cachefsd 

CacheFS 守护 进程 ,一 般 可 以 被 注释 。 

kerbd/4 tli rpc/ticlts wait root /usr/sbin/kerbd kerpd 

与 rpc 服务 相关 ,在 安全 要 求 较 高 的 情况 下 ,一 般 应 该 被 注释 。 

printer stream top nowait root /usr/lib/print/in.lpd in.lpd 

打印 机 守护 进程 ,一 般 可 以 被 注释 ,除非 使 用 打印 机 。 

daudio stream top wait Toot /usr/openwin/bin/xaserver Xaserver -noauth -inet 

一 般 可 以 被 注释 。 

SunOS 5.7 与 上 述 两 版 本 基本 相同 。 在 上 述 服务 中 ,在 只 保留 必须 的 服务 ,并 且 务 
必 保 证 运行 服务 的 版 本 及 时 更 新 。 

2. RC 


通过 注释 掉 不 必要 的 rc 程序 ,可 以 使 某 些 服务 不 启动 。 对 于 Solaris 系统 而 言 , 可 以 
在 非 MAIL 服务 器 上 注释 掉 Sendmail 服务 ,此 外 可 以 在 不 需要 使 用 NFS 的 环境 下 注释 
掉 statd 服务 和 automountd 服务 。 

要 注释 服务 ,首先 要 找 它 。 进 入 /etc 目录 ,在 rc0. d 到 rc6. d 的 各 个 目录 中 ,利用 
grep 命令 搜索 自己 关心 的 服务 。 例 如 ,对 于 Sendmail 可 以 使 用 *grep sendmail x” 
令 。 发 现 启 动 的 文件 后 ,把 该 文件 移 走 即 可 。 

为 了 防止 将 来 需要 使 用 该 文件 ,建议 在 /etc 目录 下 建立 rcbackuprc 目录 ,把 被 移动 
的 文件 ,根据 其 位 置 对 应 存放 在 rc0. d 到 rc6. d 的 目录 中 。 

大 部 分 服务 均 可 以 移 走 ,建议 保留 的 配置 文件 (各 版 本 基本 相同 ) 如 下 。 

Rc0.d: 

KOOANNOUNCE KG3audit K43inet IIG5volmgt KG6sendrail (如 已 安装 其 他 功能 类 似 软件 .或 非 Bi 服 

务 器 则 删除 ) Kaocron( 无 定时 需求 则 删除 ) ”KB3devfsaam Kaonscd( 不 使 用 PS 则 删除 ) Kalrpc (如 

不 起 XWindows 建 议 删除 ) ITpower KFK40syslog 了 2inetsvc 
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rel.d: 

KOOANNOUNCE FK33audit SOIMUNTESYS F35volmgt F366sendrail 36mpd K40nsod FSTpower 

KdOsyslog Kd3inet 

rc2.d: 

S69inet Sl4syslog S85power S88sendrail STlsysid sys WAME S75savecore S92volmgt 
SOIMUNIFSYS S72inetsvc S76nscd ST3cachefs. daemon S80PRESFRVE S99audit S20sysetup 
S30sysid.net 

rc3.d 不 保留 

让 

S33keymap sh Kd0syslog S40standardmpunts sh FB3audit 。 S42coreadm 。 KG5volmgt S50devfsadm 

K42inetsvc S50drvconfig Kd43inet S60devlinks KF3fpower FEAIME Sl0initpamcia  S70buildmttab.s 
S30rootusr.sh 


447 Solaris 安 全 配置 与 管理 


Solaris 是 一 款 多 用 户 多 任务 的 Unix 操作 系统 ,1993 年 由 SunOS 改编 而 来 。Solaris 
系统 内 核 基 于 AT&T 发 布 的 SVR4( 即 System V Release 4) ,但 Solaris 同时 也 具备 了 
一 些 BSD 版 本 Unix 的 特色 ,目前 Solaris 的 最 新 版 是 Solaris 10。Solaris 是 高 科技 研究 
和 教育 领域 使 用 最 多 的 Unix 操作 系统 之 一 ,目前 主要 运行 在 SPARC、x86 等 硬件 平台 
上 。 作 为 行业 领先 的 UNIX 平台 , 它 集成 了 强大 的 全 新 功能 ,性 能 .可 用 性 和 安全 性 极 
高 。 在 默认 情况 下 就 能 达到 Bl 级 别 的 安全 性 。 

在 可 靠 的 Solaris 下 默认 定义 了 四 个 角色 用 于 系统 管理 。 

(1) 安全 管理 员 : 管理 系统 中 与 安全 性 相关 的 所 有 方面 ,比如 审核 ,登录 和 密码 
管理 。 

(2) 系统 管理 员 : 完成 所 有 与 安全 性 无 关 的 系统 管理 任务 ,不 包括 安装 新 软件 。 

(3) Root 账户 : 用 于 安装 新 软件 。 

(4) 开放 账户 : 用 于 进行 备份 及 其 他 。 

必要 时 需要 在 系统 中 增加 新 的 角色 来 完成 其 他 任务 ,如 数据 库 管理 .Web 管理 等 。 
在 使 用 Solaris 的 时 候 , 还 需要 对 以 下 几 个 方面 的 安全 问题 加 以 关注 。 

(1) 本 地 安全 增强 : 主要 任务 是 限制 某 些 强大 命令 的 访问 ,设置 正确 的 文件 权限 ,应 
用 组 和 用 户 的 概念 ,并 使 suid/sgid 和 rw-rw-rw 的 文件 最 少 。 

(2) 网 络 安全 增强 : 包括 使 用 安全 的 协议 来 管理 ,禁止 所 有 不 需要 的 服务 ,禁止 系统 
间 的 信任 关系 ,禁止 不 需要 的 账号 ,增强 认证 需要 的 密码 ,保护 存在 危险 的 网 络 服务 , 限 
制 访问 等 。 

(3) 应 用 安全 增强 : 主要 包括 限制 用 户 的 权限 ,限制 进程 所 有 者 的 权限 ,检查 应 用 相 
关 文 件 权限 ,限制 访问 其 他 系统 资源 ,使 应 用 所 依赖 的 suid/sgid 文件 最 少 ,并 使 用 应 用 
本 身 的 安全 特性 ,以 及 删除 samples 和 其 他 无 用 的 组 件 。 

(4) 监控 与 警报 : 主要 包括 日 志 、 完 整 性 、 入 侵 检 测 等 一 些 使 用 工具 等 。 


1. 系统 配置 与 参数 配置 
和 所 有 的 操作 系统 一 样 ,Solaris 系统 也 需要 在 安装 时 就 要 确定 安全 目标 ,安装 最 小 
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的 系统 ,根据 需要 增加 应 用 软件 。 首 先 需 要 加 强 eeprom 安全 ,运行 “eeprom security 王 
command” 系 统 将 改变 安全 级 别 , 并 提示 输入 密码 。 对 于 一 般 用 户 , 从 硬盘 启动 ,不 需要 
输入 密码 。 如 果 选 择 从 光盘 启动 , 则 需要 密码 。 此 项 为 可 选 配 置 , 视 具体 需求 而 定 。 由 
于 入 侵 者 进入 系统 后 ,大 部 分 是 利用 缓冲 溢出 取得 root shell 的 ,为 了 防止 基于 堆栈 的 组 
冲 区 溢出 ,需要 在 /etc/system 文件 中 加 入 下 面 内 容 。 

set noexec User stack= 1 ;防止 在 堆栈 中 执行 

Set noexec user stack log= 1 ; 当 某 人 试图 运行 增加 一 个 记录 

同时 需要 修改 system 文件 的 属性 ,将 其 设 为 644。 为 了 防止 电源 系统 的 管理 ,最 好 
只 允许 root 进行 电源 管理 ,编辑 /etc/default/sys-suspend 文件 ,将 "PERMS= console- 
owner" 修 改 为 "PERMS 王 .”。 为 了 防止 启动 后 , 按 stopfa 或 Llfa 组 合 键 得 到 ok 提示 
符 , 使 用 启动 盘 可 以 进入 单 用 户 模式 ,防止 黑客 物理 接触 机 器 ,需要 在 /etc/default/kbd 
中 ,改变 或 加 入 *KEYBOARD_ABORT=disable”。 


2. 用 户 管 理 


用 户 管理 是 系统 安全 管理 上 的 重要 内 容 ,Solaris 除 需要 遵循 上 面 讲 的 用 户 管理 的 内 
容 外 ,还 需要 禁止 所 有 不 需要 的 系统 账户 。 编 辑 /etc/passwd, 将 需要 禁止 账户 的 ** 用 
NP 人 代替。 需要 禁止 的 账户 一 般 有 bin、daemon、adm、lp、smtp、sys、uucp、nobody、 
noaccess 等 。 同 时 让 用 户 使 用 强 密码 ,在 /etc/default/passwd 中 根据 需要 进行 如 下 
设置 。 

Emal 4 最 短 改变 时 间 

BMPX=13 ”#4 密码 最 长 有 效 时 间 

BWBRN= 4 # 密 码 失 效 前 几 天 通知 用 户 

ELENF8 ， # 最 短 密码 长 度 


对 于 用 户 的 登录 的 安全 防范 ,主要 需要 修改 系统 中 /etc/default/login 文件 ,主要 包 
括 以 下 几 个 内 容 。 

SYSIOG= YES ;需要 记录 所 有 root 登录 尝试 ,以 便 及 时 发 现 人 侵 企图 

TIMEOUT= 120 ;设置 session 超 时 时 间 

URSE= 022 ;设置 默认 umask 

PASSREQ= YES ;确保 用 户 登 录 时 提示 输入 密码 

MTSHETI= YES ;设置 shell 环境 变量 


3. 系统 服务 配置 


保障 网 络 安全 重要 一 步 是 通过 禁止 特定 的 IP 端口 来 阻止 非 授 权 的 人口, 禁用 所 有 
不 需要 的 服务 ,这些 服务 一 般 在 /etc/service 中 启用 ,并 在 /etc/inetd. conf 中 配置 。 管 理 
员 可 以 关闭 如 name、shell、login、exec、comsat、talk、rusersd、printer,finger、uucp 以 及 所 
有 以 上 开头 的 服务 。 对 于 那些 必须 提供 的 服务 , 则 通过 采用 tcpwapper 来 保护 ,并 根据 需 
要 定义 限制 的 地 址 。 检 查 hosts. allow 和 hosts. deny 文件 ,使 用 xinetd 替代 inetd。 在 系 
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统 启动 时 ,需要 禁止 所 有 不 需要 的 服务 ,在 rc. x 目录 中 将 不 需要 的 服务 改名 。 

mv /etc/rc3.d/s92volmgt /etc/rc3.d/FS92volmgt 

以 下 服务 应 该 根据 需要 进行 禁止 ,snmpdx、autofs(Automounter) .volmgt(Volume 
Deamon) lpsched(LP print service) nscd (Name Service Cache Daemon ) Sendmail、 
keyserv 等 。 在 最 新 的 Solaris10 中 ,这些 服务 可 以 采取 svcadm 来 对 应 用 服务 进行 管理 。 
如 想 关 闭 smtp 服务 ,用户 可 以 采用 如 下 命令 。 


#svcadm disable network/smtp: sendmail 


检查 所 有 的 . rhosts 文件 ,. rhosts 允许 不 要 密码 远程 访问 ,预先 生成 ? $ HOME/ 
.rhosts 文件 ,并 且 设置 为 0000, 防 止 被 写 入 “十 十 ”。 攻 击 者 经 常 使 用 类 似 符号 链接 或 者 
利用 ROOTSHELL 写 入。 


4. 网 络 接口 调整 和 优化 
管理 员 需 要 在 /etc/rc2. d/ 下 的 相关 文件 中 做 如 下 参数 调整 。 


#mncH -set /dev/arp arp _ cleanmp interval 60000 /* 缩短 BRP 的 cace 保 存 时 间 * / 

jd -set /dv/ip ip ire flush interval 60000 /* 缩短 BEP 表 中 特定 条 日 的 保持 时 间 x* / 
#ndd -set /dev/ip jp_respond to echo broadcast 0 /* 关闭 echo 广 播 , 防 止 ping 攻 击 * / 
#ndd -set /dev/ip ip forward src routed 0 /* 关闭 原 路 由 寻 址 * / 

#ncd -set /dev/ip ip_forwarding 0 /* 禁止 系统 转发 卫 包 * / 

#ndd -set /dev/ip jp forward directed broadcasts 0 。”/* 禁止 系统 转发 定向 广播 包 * / 
#ndd -set /dev/ip ip ignore redirect 1 /* 使 系统 忽略 重 定向 到 包 x* / 


#ndd -set /dev/ip jp strict dst mltihoming1  ”/* 使 系统 限制 多 宿主 机 x* / 
#ndd -set /dev/ip ip_respond to address mask broadcast= 0 
/* 确保 系统 关闭 IQP 广 播 响 应 * / 
#ndd -set /dev/ip ip ip respond to timestarp= 0 
/* 关闭 系 统 对 IMP 时 截 请 求 的 响应 * / 
#ndd -set /dev/ip ip ip respond to timestamp broadcast= 0 
/x 关闭 IMP 时 截 广播 的 响应 * / 
4#nad -set /dev/ip ip send redirects= 0 /* 禁止 系统 发 送 IMP 重 定向 包 * / 
同时 改变 TCP 序列 号 产生 参数 ,在 /etc/ default/inetinit 中 改变 TCP_STRONG_ISS= 
2。 由 于 动态 路 由 可 能 会 收 到 错误 的 路 由 信息 ,所 以 ,建议 使 用 静态 路 由 设置 in. routed 
运行 在 静态 路 由 模式 ,管理 员 需 要 创建 /usr/sbin/in. routed 文件 ,并 将 这 个 文件 的 属性 
修改 为 0755, 具 体内 容 如 下 。 
#! /bin/sh 
/usr/sbin/in.routed.orig - q 


5. 其 他 安全 技术 


Solairs 系统 的 文件 管理 与 Linux 系统 类 似 ,主要 也 是 注意 有 关 suid 的 文件 ,需要 删 
除 所 有 不 使 用 的 suid 文件 ,最 好 删除 /etc 下 所 有 组 中 的 可 写 文 件 ,或 者 去 掉 写 权 限 。 还 
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需要 确保 每 个 root 启动 的 脚本 属于 root, 改 变 /var/cron 权限 ,将 其 设 为 700。 开 放 日 志 
和 监控 ,修改 /etc/cron. d/logchecker 中 LIMIT 王 4096 ,这样 就 将 cron logfiles 的 大 小 设 
为 2M, 并 编辑 /etc/init. d/inetsvc, 需 要 记录 所 有 inetd 服务 ,保证 有 如 下 条 目 。 


/usr/sbin/ifconfig - au netmask + broadcast + /usr/sbin/inetd-s - 七 
编辑 修改 syslog. conf 文件 ,需要 增加 下 面 记录 ,用 来 记录 debug 信息 。 


# .debug /var/adm/ompass.messages 
auth.info /var/log/authlog 


并 创建 /var/adm/loginlog 来 记录 登录 失败 信息 ,具体 过 程 如 下 。 


#ouch /var/adm/loginlog 

#chmpd 600 /var/adm/loginlog 

#chown root /var/adm/loginlog 

#chgrp sys /Var/ad/loginlog 

在 系统 安装 完 后 ,需要 安装 最 新 的 补丁 。 安 装 补丁 对 系统 稳定 和 安全 十 分 重要 , 查 
看 更 新 更 安全 的 补丁 在 http://sunsolve. sun. com, 用 户 可 以 登录 使 用 下 面 的 命令 查看 
系统 中 安装 了 那些 补丁 。 

#showrev - p 

任何 一 种 单一 的 安全 措施 ,防范 能 力 都 是 有 限 的 ,一 个 安全 的 系统 必须 采取 多 种 安 
全 措施 ,多 管 齐 下 才能 更 好 地 保证 安全 。 假 如 一 个 Linux/UNIX 系统 采取 了 以 上 各 种 安 
全 措施 ,那么 攻击 者 要 想 侵入 系统 ,将 不 得 不 绕 过 防火 墙 , 避 开 入 侵 检 测 系 统 , 跳 过 陷阱 
程序 ,通过 系统 过 滤器 , 逃 过 日 志 监视 器 ,修改 文件 系统 属性 ,破坏 安全 登录 服务 器 才能 
最 终 达 到 目的 。 由 于 其 中 任何 一 个 环节 都 可 能 激发 报警 ,因此 ,入 侵 者 要 想 侵入 这 样 的 
系统 而 又 不 被 发 现 几乎 是 不 可 能 的 。 

操作 系统 安全 关系 到 所 有 应 用 系统 的 安全 ,也 关系 到 整个 网 络 安全 的 基础 。 本 章 分 
析 了 安全 操作 系统 的 发 展 历史 ,分 析 了 操作 系统 的 安全 机 制 , 重 点 对 Linux、Windows 
2000/2003 和 UNIX 主流 操作 系统 的 安全 进行 了 分 析 , 并 提供 了 安全 加 固 的 方法 。 还 提 
供 了 有 关 如 何 解决 Linux、Windows 和 UNIX 的 网 络 操作 系统 上 发 现 的 特定 漏洞 的 指 
导 。 提 供 了 有 关 特 定 对 策 可 能 如 何 影响 计算 机 的 功能 .可 管理 性 .性 能 和 可 靠 性 的 信息 ， 
以 便 用 户 可 以 明智 地 选择 在 自己 的 环境 中 实施 哪些 对 策 。 通 过 本 章 的 学 习 , 用 户 将 可 在 
一 定 程 度 上 提高 操作 系统 的 安全 性 。 但 需要 注意 的 是 ,一 但 发 现 严重 安全 漏洞 时 ,先前 
配置 的 环境 可 能 再 次 受到 攻击 。 所 以 ,需要 管理 员 监 视 各 种 资源 以 便 及 时 了 解 与 操作 系 
统 、 应 用 程序 和 设备 相关 的 安全 问题 。 这 一 点 至 关 重 要 .因为 没有 哪个 网 络 服 务 器 是 绝 
对 安全 的 。 务 必 理 解 保护 网 络 中 的 服务 器 的 任务 不 是 一 次 性 工程 ,而 是 一 个 在 其 预算 和 
日 程 中 包括 的 持续 过 程 。 每 个 组 织 应 将 安全 性 视 为 优先 级 别 最 高 的 事务 之 一 。 
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(1) 什么 是 安全 操作 系统 ? 简单 说 明 TCSEC 的 主要 内 容 。 
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(2) Linux 操作 系统 是 如 何 实行 配额 和 限制 的 ,为 什么 要 这 样 做 ? 

(3) Windows Server 2003 如 何 进行 安全 基线 的 配置 ? 

(4) 找 出 Linux 系统 与 Windows 操作 系统 有 关 安 全 配置 上 的 共同 点 和 不 同 点 。 
(5) 操作 系统 的 安全 威胁 有 哪些 ? 

(6) 简 述 操作 系统 安全 设计 的 基本 原则 。 

(7) 简 述 Linux/UNIX 的 安全 策略 。 

(8) 简 述 NTFS 文件 系统 的 安全 性 。 


第 5 音 aierD 
网 络 应 用 系统 的 安全 策略 


当 谈 到 网 络 应 用 安全 的 时 候 ,许多 企业 及 学 校 仅 仅 扫描 系统 漏洞 就 应 付 了 事 , 这 样 
是 错误 的 。 网 络 应 用 是 恶意 和 非法 进入 组 织 机 构 网 络 的 最 佳人 口 。 最 小 的 系统 加 最 少 
的 应 用 服务 ,相对 来 说 是 比较 安全 的 。 网 络 平台 的 系统 安全 性 和 网 络 应 用 的 安全 性 是 截 
然 不 同 的 概念 。 因 此 ,需要 认真 对 待 每 个 网 络 应 用 ,了 解 入 侵 是 如 何 发 生 的 ,学 习 如 何在 
他 人 找到 网 络 安全 防护 漏洞 之 前 修补 破绽 ,保护 网 络 应 用 系统 的 安全 。 下 面 列 出 的 是 需 
要 注意 的 三 大 网 络 应 用 安全 问题 。 
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511 身份 验证 


身份 验证 是 网 络 应 用 安全 最 重要 的 阶段 ,即使 使 用 SSL 或 强大 的 两 次 验证 机 制 (如 
用 户 ID 和 复杂 的 密码 ) 也 是 如 此 。 存 在 缺陷 的 凭证 管理 任务 ,包括 密码 修改 ,用户 信息 
更 新 和 其 他 相关 的 功能 ,能 够 削弱 验证 的 效果 。 因 此 ,即使 使 用 者 拥有 有 效 的 会 话 权限 ， 
依然 需要 重新 验证 所 有 的 账号 管理 任务 。 

对 于 大 部 分 网 络 应 用 ,用 户 验 证 包括 用 户 ID 和 密码 两 部 分 。 强 大 的 验证 方法 随处 
可 见 , 既 有 基于 软件 或 者 硬件 的 密码 验证 .也 有 生物 学 验证 方法 。 

这 些 方法 虽然 为 应 用 增加 了 成 本 ,但 仍然 应 该 坚持 将 这 些 成 本 归 入 开发 过 程 。 如 果 
在 劝说 当权 者 时 遇 到 阻力 ,可 以 考虑 用 案例 来 说 服 他 ,联邦 储蓄 保险 公司 (FDIC) 在 2000 
年 就 宣布 ,由 于 身份 窃贼 问题 的 严重 化 ,网 上 银行 有 义务 进行 多 重 验证 (如 硬件 /软件 加 
密 或 生物 学 验证 ) ,对 传统 的 两 重 验 证 进行 补充 。 


512 访问 控制 


访问 控制 是 网 络 应 用 使 用 验证 方法 来 接受 或 拒绝 对 内 容 和 功能 访问 的 过 程 。 以 下 
是 两 种 主要 的 访问 控制 方法 。 

路 径 挖掘 : 恶意 用 户 会 将 相关 路 径 信息 (如 https://your_Website. com/target_dir/ 
target_file) 作 为 对 素材 的 直接 申请 进行 路 径 挖掘 攻击 。 此 类 攻击 企图 访问 一 般 无 法 直 
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接 访 问 的 文件 。 借 助 网 络 浏览 器 、 系 统 呼 叫 和 shell 命令 ,URL 或 使 用 黑客 工具 进行 
袭击 。 

客户 端 缓存 : 默认 情况 下 ,大 部 分 的 网 页 浏览 器 都 会 缓存 网 络 页 面 。 入 侵 者 可 以 利 
用 缓存 信息 访问 安全 地 址 。 用 户 频繁 使 用 公用 或 者 共享 计算 机 通过 网 络 应 用 访问 信息 。 
因此 ,网络 应 用 应 该 包括 限制 缓存 敏感 信息 的 功能 ,以 防止 在 浏览 器 中 缓存 用 户 信息 。 


513 未 授权 的 输入 


网 络 应 用 响应 用 户 的 HTTP 请 求 , 袭 击 者 修改 HTTP 人 URL 或 对 后 端 数 
据 库 进行 查询 的 字符 串 .表单 域 、. 隐 藏 域 等 ) 来 绕 过 网 站 的 安全 机 制 。 最 常见 的 袭击 后 果 
是 跨 站 脚本 缓存 溢出 以 及 资料 隐 码 。 

单纯 依靠 客户 端 机 制 验证 输入 的 网 站 只 考虑 到 了 网 站 的 性 能 和 可 用 性 。 入 侵 者 能 
轻易 地 绕 过 检验 机 制 ,使 得 缺乏 保护 的 网 络 应 用 要 面 对 恶 意 的 输入 。 

黑客 们 使 用 工具 生成 自己 的 HTTP 请 求 来 绕 过 网 络 浏览 器 的 验证 机 制 。 服 务 器 端 
的 验证 是 防止 此 类 利用 HTTP 请 求 进行 人 侵 的 必需 的 手段 。 


514 应 采取 的 措施 


如 果 网 络 应 用 本 身 存在 许多 固有 的 不 安全 性 ,包含 如 此 多 的 危险 ,那么 如 何 确保 安 
全 ? 答案 相对 来 说 很 简单 。 

在 应 用 建立 的 过 程 中 ,编码 文档 的 建立 以 及 独立 的 编码 审查 就 是 成 功 实现 安全 的 关 
键 。 记 录 每 行 语句 ,并 寻求 擅长 应 用 安全 的 第 三 方 对 系统 以 及 升级 应 用 所 使 用 的 控制 方 
式 进 行 评估 。 

如 果 已 经 在 线 发 布 网 络 应 忘记 做 安全 工作 , 那 也 不 算 太 晚 一 一 你 依然 能 够 保 
护 应 用 的 安全 。 rae 还 应 该 继续 进行 查找 安全 裂 
颖 和 缺陷 的 测试 以 及 应 用 维护 。 

在 进行 网 络 应 用 安全 测试 时 ,可 以 有 多 种 选择 。 如 果 不 知 道 应 该 如 何 进 行 安全 测 
试 ,可 以 使 用 网 络 应 用 安全 工具 。 

在 实施 某 个 应 用 时 ,人 们 (包括 公司 内 部 人 员 以 及 外 部 人 员 ) 是 最 好 的 应 用 测试 员 。 
在 全 部 应 用 实施 之 前 ,以 及 主要 应 用 进行 修改 之 时 ,都 要 继续 进行 应 用 缺陷 和 渗透 性 测 
试 。 系 统 安全 检查 只 能 提供 关于 平台 安全 的 信息 ,需要 采取 额外 措施 来 确保 应 用 的 
安全 。 


52 电子 邮件 系统 安全 策略 


电子 邮件 (E-mail) 是 通过 Internet 或 者 Intranet 等 网 络 , 从 终端 机 输入 文件 .图 片 或 
者 声音 等 ,通过 邮件 服务 器 传送 到 另 一 端的 终端 机 上 的 信息 。 电 子 邮件 是 目前 人 们 在 虚 
拟 网 络 空间 中 使 用 频率 最 高 的 通信 方法 。 

随 着 国内 Internet 的 发 展 ,电子 邮件 作为 一 种 通信 方式 逐渐 普及 。 当 前 电子 邮件 的 
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用 户 已 经 从 教育 领域 发 展 到 了 普通 家 庭 中 ,电子 邮件 传递 的 信息 也 从 普通 文本 信息 发 展 
到 包含 声音 、 图 像 在 内 的 多 媒体 信息 。 随 着 用 户 的 增多 、 使 用 范围 的 逐渐 扩大 ,保证 邮件 
本 身 的 安全 以 及 电子 邮件 对 系统 安全 性 的 影响 越 来 越 重要 。 

现在 电子 邮件 基本 上 都 是 基于 TCP/IP 协议 的 。 在 TCP/IP(IPv4) 协 议 徐 中 ,TCP 
协议 对 电子 邮件 通信 双方 的 身份 认证 依赖 于 IP 包 中 的 源 地 址 和 目的 地 址 。 电 子 邮 件 在 
Internet 上 是 以 明文 形式 传递 的 ,窃听 者 可 以 截获 IP 包 , 从 中 分 析出 源 地 址 .目的 地 址 以 
及 邮件 的 内 容 。 一 旦 窃听 者 掌握 了 通信 双方 的 地 址 信息 就 可 以 假冒 任意 一 方 ,重新 启动 
与 另 一 方 的 通信 ,邮件 内 容 也 会 以 明文 的 形式 泄露 。 

当 用 户 从 当地 的 邮件 服务 器 上 收取 电子 邮件 时 ,服务 器 会 要 求 用 户 输入 账号 及 密 
码 , 以 确认 用 户 的 合法 身份 。 但 用 户 输入 的 账号 和 密码 是 以 明文 形式 通过 网 络 传递 给 服 
务 器 的 ,窃听 者 只 要 监听 到 客户 和 服务 器 在 这 一 次 应 答 过 程 中 交换 的 数据 包 , 就 可 以 获 
得 客户 的 账号 和 密码 ,从 而 完全 获得 用 户 邮 箱 内 的 邮件 及 其 内 容 , 用 户 就 毫 无 秘密 可 言 。 
现在 很 多 的 电子 邮件 产品 ,在 安全 性 方面 各 有 其 缺点 。 

PGP(pretty good privacy) 是 近 几 年 应 用 于 保密 电子 邮件 的 一 个 性 能 很 好 的 软件 。 
它 能 够 对 邮件 发 送 者 身份 的 认证 ,对 E-mail 消息 加 密 以 及 对 E-mail 明文 消息 的 完整 性 
进行 校 验 。 它 的 密 钥 管理 采用 了 以 RSA 公开 密 钥 算法 传送 密 钥 ,但 没有 采用 证 书 管理 
体制 ;数据 加 密 采取 了 IDEA (国际 数据 加 密 标准 ), 加 解密 速度 比较 快 ;MD5 用 作 单 向 
Hash 函数 ,通过 使 用 RSA 加 密 算法 用 邮件 发 送 者 的 秘密 密 钥 ,对 E-mail 消息 的 MD5 消 
息 摘 要 进行 加 密实 现 数 据 完整 性 校 验 。 

尽管 PGP 应 用 公开 密 钥 . 单 钥 ,Hash 等 算法 实现 了 二 级 密 钥 管理 ,但 它 的 密 钥 管理 
依旧 存在 缺陷 一 一 缺少 第 三 方 对 通信 双方 身份 的 认证 。 这 给 PGP 的 安全 性 造成 了 极 大 
的 威胁 。 公 钥 的 鉴别 模仿 现实 生活 中 人 们 的 相互 信任 关系 ,划分 成 5 级 信任 度 , 信 任 度 
存在 递减 问题 。 其 次 ,假设 用 户 A 和 B 第 1 次 使 用 PGP 进行 通信 ,而 B 要 将 其 公 钥 发 送 
给 A, 如 果 通 过 电子 邮件 传送 ,也 只 能 以 明文 形式 传递 。 如 果 攻 击 者 工 截获 B 的 公 钥 , 然 
后 将 自己 的 公 钥 ,取代 B 的 公 钥 发 送 给 A, 于 是 假冒 了 B, 从 而 导致 A 发 给 B 的 信息 被 
攻击 者 工 收取 并 阅读 ,而 A 却 无 法 察觉 。 由 于 PGP 在 运行 过 程 中 使 用 了 一 些 存储 块 ,而 
在 使 用 PGP 的 清除 功能 后 , 却 没有 真正 地 将 数据 从 存储 块 上 清除 掉 , 这 给 密码 分 析 者 留 
下 了 寻找 密 钥 的 可 能 途径 ;PGP 重新 运行 时 ,可 能 会 重复 使 用 存储 块 的 数据 。 再 者 ,PGP 
的 随机 数 产生 方式 也 不 是 太 理想 , 它 是 通过 测试 用 户 击 键 的 时 间 间 隔 来 产生 随机 数 , 随 
机 数 的 产生 完全 由 软件 来 实现 ,如 果 程 序 被 修改 ,很 可 能 产生 的 随机 数 不 具 有 随机 性 ; 随 
机 数 种 子 是 以 文件 形式 存放 在 用 户 的 存储 空间 中 ,文件 的 安全 问题 会 导致 整个 系统 安全 
性 能 的 削弱 。 

保密 电子 邮件 涉及 SMTP、POP3 协议 和 PEM 标准 。 

简单 邮件 传输 协议 (simple mail transport protocol, SMTP) 负 责 电 子 邮件 在 网 络 上 
的 传递 。SMTP 协议 规定 了 邮件 怎样 在 邮件 服务 器 中 传递 ,已 经 成 为 目前 互联 网 上 邮件 
传输 的 标准 。 但 是 从 安全 的 角度 上 SMTP 几乎 是 不 设防 的 协议 ,SMTP 的 消息 传输 采用 
的 是 明文 形式 而 且 固 定 在 25 端口 .所 以 易 被 监听 和 攻击 。 

邮局 协议 版 本 3(post office protocol 3,POP3) 规 定 了 用 户 怎 样 从 邮件 服务 器 上 收取 


220 


Manns ssnnt 


邮件 。 用 户 在 使 用 POP3 协议 收取 邮件 时 需要 进行 身份 确认 ,认证 成 功 后 向 用 户 传递 邮 
件 ,但 这 并 不 意味 着 POP3 就 是 安全 的 。 事 实 上 ,POP3 协议 提供 的 安全 很 有 限 ,因为 它 
只 是 提供 了 对 用 户 的 身份 保护 ,并 没有 提供 对 邮件 内 容 的 加 密 措 施 。 如 果 窃 密 者 使 用 被 
动 供给 技术 则 可 以 绕 过 身份 确认 直接 得 到 电子 邮件 的 明文 。 

由 以 上 协议 的 安全 性 分 析 可 知 , 传 统 的 电子 邮件 系统 无 论 是 邮件 的 网 络 传输 ,还 是 
客户 和 邮件 服务 器 之 间 的 交互 都 存在 着 巨大 的 安全 隐患 。 


521 SMIP 协 议 的 安全 性 问题 


在 Internet 中 ,E-mail 是 通信 双方 通过 其 在 运输 层 的 25 号 端口 建立 的 连接 来 进行 
的 。 侦 听 25 号 端口 的 就 是 SMTP, 它 是 一 个 后 台 进 程 ,由 它 去 接受 连接 请 求 , 并 将 报 文 
送 入 相应 的 邮箱 中 。 连 接 建成 后 ,发 送 方 按 客户 方式 运行 ,而 接收 方 按 服 务 器 方式 运行 。 
客户 要 等 待 服务 器 的 响应 ,直到 服务 器 能 够 接受 E-mail 时 , 才 开 始 发 送 。 首 先 发 送 方 要 
宣布 自己 是 谁 ,发 信 给 谁 。 当 服务 器 认定 收 信者 确 有 其 人 时 ,就 通知 发 送 方 可 以 发 信 过 
来 。 接 着 就 进入 发 送 方 发 报 文 、 服 务 器 接收 报 文 以 及 确认 接受 的 过 程 ,一 直到 发 完 报 文 ， 
释放 连接 为 止 。 

E-mail 用 户 的 唯一 标识 是 邮件 地 址 ,如 Username@domain. com, 即 名 为 Username 
的 用 户 使 用 域名 为 domain. com 的 邮件 服务 器 进行 邮件 的 发 送 和 接收 。 用 户 通 常 可 使 用 
客户 端 软件 (Foxmail、Outlook Express 等 ) 联 系 服务 器 进行 邮件 收发 。 客 户 将 邮件 提交 
给 邮件 服务 器 之 后 ,还 需要 邮件 服务 器 进行 一 系列 复杂 的 传递 操作 ,这 才能 将 邮件 传送 
到 目的 地 址 所 在 的 邮件 服务 器 。 这 一 传递 过 程 的 实现 就 依赖 于 SMTP 服务 ,SMTP 定义 
了 一 套 有 效 的 传递 规则 , 它 以 协议 的 方式 规定 了 网 络 中 全 部 邮件 服务 器 必须 遵守 的 
准则 。 

电子 邮件 服务 除了 依赖 于 SMTP 协议 之 外 ,还 需要 POP 协议 的 支持 ,而 POP 协议 
是 IIS 所 不 能 支持 的 ,所 以 ,使 用 IIS 服务 器 并 不 能 实现 完整 的 邮件 服务 。 笼 统 地 说 ， 
SMTP 负责 邮件 的 传递 ,从 客户 机 到 邮件 服务 器 以 及 服务 器 之 间 的 传递 工作 。 而 POP 
协议 能 够 让 客户 检索 到 由 SMTP 发 送 来 的 邮件 ,并 将 此 邮件 下 载 到 用 户 本 地 。 


1. SMTP 模型 .命令 及 规范 


如 图 5-1 所 示 ,SMTP 模型 在 工作 时 ,首先 由 用 户 发 送 请 求 给 发 送 端 SMTP 服务 器 ， 
然后 发 送 端 SMTP 服务 器 与 接收 端 SMTP 服务 器 建立 双向 传输 通道 。 此 处 接收 端 
SMTP 服务 器 可 能 是 最 终 接收 端 ,也 可 能 是 中 间 转 发 接收 端 。 双 向 通道 建立 起 来 之 后 ， 
接收 端 和 发 送 端 SMTP 服务 器 就 按 协议 规定 的 命令 进行 应 答 。 


用 六 一 | 发 送 端 接收 端 | -_。「 文件 系统 
文件 系统 | SMTP SMTP 


图 5-1 SMTP 模型 
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SMTP 协议 中 规定 的 命令 有 MAIL、RCPT、DATA、VRFY、EXPN、SEND、SOML、 
SAML、HELO、QUIT.、RSET、HELP、NOOP 等 。 其 中 HELO、MAIL、RCPT、DATA、 
RSET、NOOP、QUIT 7 条 命令 组 成 了 SMTP 协议 的 最 小 命令 集 。 


2. SMTP 协议 原理 


SMTP 是 一 组 由 源 地 址 到 目的 地 址 传送 邮件 的 规则 ,由 它 来 控制 信件 的 中 转 方式 。 
SMTP 协议 属于 TCP/IP 协议 得 , 它 帮助 每 台 计 算 机 在 发 送 或 中 转 信件 时 找到 下 一 个 目 
的 地 。 通 过 SMTP 协议 所 指定 的 服务 器 ,就 可 以 把 E-mail 寄 到 收 信人 的 服务 器 上 ,整个 
过 程 只 要 几 分 钟 。SMTP 服务 器 则 是 遵循 SMTP 协议 的 发 送 邮 件 服务 器 ,用 来 发 送 或 中 
转 用 户 发 出 的 电子 邮件 。SMTP 协议 规定 命令 是 以 明文 方式 传递 的 。 

SMTP 工作 在 两 种 情况 下 : 一 是 电子 邮件 从 客户 机 传输 到 服务 器 ;二 是 从 某 一 个 服 
务 器 传输 到 另 一 个 服务 器 。 

SMTP 是 请 求 /响应 协议 ,命令 和 响应 都 是 基于 ASCII 文 本 ,并 以 CR 和 LF 符 结 束 。 
响应 包括 一 个 表示 返回 状态 的 三 位 数字 代码 。 

SMTP 在 TCP 协议 25 号 端口 监听 连接 请 求 。 

连接 和 发 送 过 程 如 下 。 

(1) 建立 TCP 连接 。 

(2) 客户 端 发 送 HELO 命令 以 标识 发 件 人 自己 的 身份 ,然后 客户 端 发 送 MAIL 命 
令 , 服 务 器 端 以 OK 作为 响应 ,表明 准备 接收 。 

(3) 客户 端 发 送 RCPT 命令 ,以 标识 该 电子 邮件 的 计划 接收 人 ,可 以 有 多 个 RCPT 
行 ,服务 器 端 则 表示 是 否 愿 意 为 收 件 人 接受 邮件 。 

(4) 协商 结束 ,发 送 邮 件 , 用 命令 DATA 发 送 。 

(5) 以 *. "表示 结束 输入 内 容 一 起 发 送出 去 。 

(6) 结束 此 次 发 送 , 用 QUIT 命令 退出 。 

另外 两 个 命令 的 功能 如 下 。 

VRFY: 用 于 验证 给 定 的 用 户 邮 箱 是 否 存在 ,以 及 接收 关于 该 用 户 的 详细 信息 。 

EXPN: 用 于 扩充 邮件 列表 。 

邮件 路 由 过 程 如 下 。 

SMTP 服务 器 基于 域名 服务 DNS 中 计划 收 件 人 的 域名 及 MX 记录 来 路 由 电子 邮 
件 。MX 记录 注册 了 域名 和 相关 的 SMTP 中 继 主 机 ,属于 该 域 的 电子 邮件 都 应 向 该 主机 

若 SMTP 服务 器 mail. abc. com 收 到 一 封 信 要 发 到 shuser@sh. abc. com: 

(1) Sendmail 请 求 DNS 给 出 主机 sh. abc. com 的 CNAME 记录 ,如 果 有 ,假设 
CNAME 到 shmail. abc. com, 则 再 次 请 求 shmail. abc. com 的 CNAME 记录 ,直到 没有 
为 止 。 

(2) 假定 被 CNAME 到 shmail. abc. com: 然 后 Sendmail 请 求 @abc. com 域 的 DNS 
给 出 shmail. abc. com 的 MX 记录 。 


shmail Mx 5 shmail .abc.om 
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10 shrail?.abc.can 


(3) Sendmail 最 后 请 求 DNS 给 出 shmail. abc. com 的 A 记录 , 即 IP 地 址 ,如 返回 值 
为 下 训 3 

(4) Sendmail 与 1. 2. 3.4 连接 ,传送 这 封 给 shuser@sh. abc. com 的 信 到 1. 2. 3.4 这 
台 服 务 器 的 SMTP 后 台 程 序 。 

怎样 由 信封 部 分 检查 一 封 信 是 否 是 伪造 的 ? 

(1) 检查 received 行 的 关联 性 。 

现在 的 SMTP 邮件 传输 系统 ,在 信封 部 分 除了 两 端的 内 部 主机 处 理 之 外 ,还 考虑 两 
个 公司 防火 墙 之 间 的 部 分 。 若 两 台 防 火 墙 机 器 分 别 为 A 和 B, 但 接收 者 检查 信封 
received 行 时 发 现 经 过 了 C 则 是 伪造 的 。 

(2) 检查 received 行 中 的 主机 和 IP 地 址 对 是 否 对 应 。 


Received: from galangal .org (bummeric.com [104.128.23.115] by mail .bieberdorf.edu … 
(3) 检查 被 手动 添加 在 最 后 面 的 received 行 。 


Received: from galangal.org ([104.128.23.115]) by mail .bieberdorf.edu (8.8.5) 
Received: from lemongrass.org by galangal .org (8.7.3) 
Received: fram graprao.com by lemongrass.org (8.6.4) 


3. SMTP 安全 性 分 析 


SMTP 协议 没有 采用 任何 安全 机 制 ,全 部 信息 采用 明文 形式 传送 ,并 且 采 用 固定 的 
端口 号 25 进行 邮件 的 发 送 , 攻 击 者 只 要 监听 端口 号 25 的 数据 流 , 就 能 分 析出 SMTP 命 
令 及 其 参数 内 容 , 进 而 达到 分 析出 所 有 邮件 内 容 的 目的 。 

在 发 送 邮 件 的 过 程 中 ,MAIL 和 RCPT 命令 都 可 能 被 监听 ,分 析 其 参数 获知 邮件 的 
来 源 和 去 向 。 攻 击 者 一 旦 掌握 了 这 些 信 息 ,就 可 能 采取 假冒 攻击 。 

VRFY 和 EXPN 命令 也 可 能 被 监听 ,攻击 者 可 以 掌握 用 户 和 邮箱 地 址 ,进而 进行 假 
冒 攻击 。 

DATA 命令 很 可 能 成 为 主动 攻击 的 介入 点 。 攻 击 者 截获 DATA 命令 ,然后 用 自己 
伪造 的 邮件 内 容 代替 原 有 邮件 内 容 发 送 给 接收 者 , 即 进行 假冒 攻击 。 

TURN 命令 可 以 使 收发 双方 角色 互 换 ,攻击 者 利用 这 一 命令 可 以 逃避 邮件 过 滤 防 火 
墙 的 检查 ,让 不 允许 外 出 的 邮件 出 去 ,不 允许 进来 的 邮件 进来 ,从 而 使 过 滤 防 火 墙 失去 其 
应 有 功能 。 

通过 对 reverse-path 的 修改 ,可 以 直接 导致 邮件 误 投 , 邮 件 被 错误 地 导入 攻击 者 的 
邮箱 。 


522 Sendmal 服务 器 的 安全 问题 


由 于 程序 设计 上 的 缺陷 ,加 上 功能 配置 非常 复杂 ,Sendmail 往往 成 为 系统 安全 的 隐 
患 。 当 然 ,可 以 先 建 一 个 宏 配 置 文件 ,然后 使 用 m4 宏 预 处 理 器 生成 主 配置 文件 ,这 样 就 
变 得 相对 容易 。 但 是 ,要 掌握 所 有 的 配置 选项 不 是 一 件 容易 的 事情 。Sendmail 在 过 去 的 
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版 本 中 出 现 过 很 多 安全 漏洞 ,促使 管理 员 不 得 不 赶快 升级 版 本 。 而 且 Sendmail 的 流行 性 
也 使 其 成 为 攻击 的 目标 ,这 意味 着 安全 漏洞 可 以 很 快 被 发 现 ,但 同时 也 使 得 Sendmail 更 
加 稳定 和 安全 。 另 外 一 个 问题 是 Sendmail 的 一 般 默 认 配 置 都 具有 最 小 的 安全 特性 ,从 而 
使 Sendmail 往往 容易 被 攻击 。 如 果 使 用 Sendmail, 应 该 确保 理解 每 个 打开 选项 的 含义 
及 影响 。 一 旦 理解 了 Sendmail 的 工作 原理 ,Sendmail 的 安装 和 维护 就 变 得 非常 容易 了 。 
通过 Sendmail 的 配置 文件 ,用 户 可 以 完成 一 切 想 要 得 到 的 需求 。 


Sendmail 的 安全 配置 


Sendmail 作为 免费 的 邮件 服务 器 软件 ,已 被 广泛 应 用 于 Internet 各 种 操作 系统 的 服 
务 器 中 。 如 Solaris\HPUX、AIX IRIX、Linux 等 。 随 着 互联 网 的 普及 ,邮件 服务 器 受 攻 
击 的 机 会 也 大 大 增加 。 目 前 互联 网 上 的 邮件 服务 器 所 受 攻击 主要 有 两 类 : 一 类 就 是 中 继 
利用 (Relay) , 即 远程 机 器 通过 你 的 服务 器 来 发 信 , 这 样 任何 人 都 可 以 利用 你 的 服务 器 向 
任何 地 址 发 邮件 ,和 久而久之 ,你 的 机 器 不 仅 成 为 发 送 垃圾 邮件 的 帮 节 ,也 会 使 网 络 国际 流 
量 激增 ,同时 可 能 被 网 上 的 很 多 邮件 服务 器 所 拒绝 ; 另 一 类 攻击 称 为 垃圾 邮件 (Spam) , 即 
人 们 常 说 的 邮件 炸弹 ,是 指 在 很 短 时 间 内 服务 器 可 能 接收 大 量 无 用 的 邮件 ,从 而 使 邮件 
服务 器 不 堪 负 载 而 出 现 瘫痪 。 这 两 种 攻击 都 可 能 使 邮件 服务 器 无 法 正常 工作 ,因此 , 作 
为 一 个 邮件 服务 器 ,防止 邮件 攻击 将 不 可 缺少 。 

目前 ,Sendmail 邮件 服务 器 阻止 邮件 攻击 的 方法 有 两 种 : 一 种 是 升级 高 版 本 的 服务 
器 软件 ,利用 软件 自身 的 安全 功能 ;第 二 种 就 是 采用 第 三 方 软件 ,利用 其 动态 中 继 验 证 控 
制 等 功能 来 实现 。 

下 面 就 以 Sendmail 8. 9. 3 为 例 ,介绍 一 下 使 用 方法 。 

1) 服务 器 自身 安全 功能 

要 利用 Sendmail 8. 9. 3 的 阻止 邮件 攻击 功能 ,就 必须 在 系统 编译 时 对 相关 参数 进行 
设置 ,并 借助 相关 的 软件 包 。 目 前 主要 就 是 利用 Berkeley DB 数据 库 的 功能 ,Berkeley 
DB 包 可 以 从 相关 站 点 上 下 载 ,并 需要 预先 编译 好 。 然 后 将 Berkeley DB 的 相关 参数 写 进 
Sendmail 的 有 关 文 件 中 。 

将 编译 好 的 Berkeley DB 有 关 库 文件 路 径 加 入 到 site. config. m4 文件 中 ,使 
Sendmail 编译 后 能 够 使 用 Berkeley DB 数据 库 。 


#0d$ /sendmail- 8.9.3/BuidrTools/Site 
修改 site. config. m4 文件 


define (confINCDIRS，- I/usr/local/Berkeley[B/include) 
define (confLIBDIRS，IVusr/local/BerkeleyrB/lib) 


Sendmail. mc 是 生成 Sendmail. cf 的 模板 文件 之 一 ,要 使 Sendmail 具有 抗 邮 件 攻击 
功能 还 需 在 该 文件 中 进行 相关 定义 。 主 要 包括 以 下 几 项 : 

FEATURE, (relay entire domain) 

FEATURE (AOCESS LB) anl 
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正确 编译 好 Sendmail 是 邮件 服务 器 安全 控制 的 基础 ,而 真正 的 安全 设置 主要 还 是 利 
用 相关 文件 进行 的 。 这 种 包含 控制 语句 的 文件 主要 是 access 和 relay-domains。 

access 是 邮件 安全 控制 的 主要 数据 库 文件 ,在 该 文件 中 可 以 按照 特定 的 格式 将 需 控 
制 的 域名 、IP 地 址 或 目标 邮件 地 址 ,以 及 相应 的 动作 值 写 入 ,然后 使 用 makemap 命令 生 
成 access. db 文件 。 


#makemap hash acoess .db 
Spam.om REJECT 

equ.cn CK 

hotbmail.com DISCARD 


其 中 ,REJECT 动作 是 拒绝 接受 从 指定 地 址 发 来 的 邮件 ;OK 是 允许 特定 地 址 用 户 任 
意 访问 ;relay 是 允许 通过 本 邮件 服务 器 进行 中 转 邮件 ;DISCARD 是 将 收 到 的 邮件 交 给 
特定 命令 进行 处 理 ,例如 ,可 以 设 定 将 收 到 的 邮件 丢弃 ,或 者 设 定 收 到 邮件 后 返回 给 使 用 
者 一 条 出 错 信息 等 。 

Relay-domains 文件 是 设 定 哪些 域 是 该 服务 器 可 以 中 继 的 域 ,其 格式 为 每 个 域 占 
一 行 。 


在 服务 器 开始 使 用 时 建议 将 所 有 顶级 域名 加 入 其 中 ,以 后 再 根据 安全 需要 对 其 进行 
修改 ,否则 将 会 使 POP3 用 户 发 送 邮 件 时 出 现 relay reject 错误 ,而 无 法 向 没有 加 入 的 域 
名 目标 邮件 地 址 发 送 邮 件 。 

2) relay 规则 限制 

RedHat 7. 2 自 带 了 Sendmail 8. 11. 6 ,默认 Sendmail 只 监听 127. 0.0. 1 地 址 ,而 且 只 对 
本 机 转发 。 这 的 确 非 常安 全 ,可 是 外 面 的 机 器 根本 无 法 连接 到 主机 的 25 号 端口 ,合法 的 客 
户 也 不 能 使 用 SMTP 服务 。 所 以 首先 需要 修改 /etc/ sendmail. cf 文件 ,找到 如 下 行 : 


O DaemconPortopticons= Port= smtp, PGdr= 127.0.0.1, Name= MIA 
删除 Addr 王 127. 0. 0.1, 然 后 重启 Sendmail。 
/etc/rc.d/init.d/sendmail restart 


这 样 Sendmail 可 以 监听 0. 0. 0. 0 地 址 , 即 所 有 的 机 器 都 可 以 连接 了 。 可 是 用 主机 作 
SMTP 服务 器 发 信 时 ,如 果 发 送 者 和 接收 者 都 不 是 本 地 域 , 则 会 提示 Relaying denied。 
这 是 因为 Sendmail 默认 允许 对 本 机 进行 转发 ,而 使 用 Access Map 进行 转发 规则 的 管理 。 

Sendmail 检查 /etc/mail/relay-domains 文件 ,决定 是 否 转发 邮件 , 它 通过 判断 设置 的 
IP 地 址 或 域名 决定 是 否 允 许 转 发 。 如 果 /etc/mail/relay-domains 文件 不 存在 或 这 一 步 
不 允许 ,Sendmail 还 会 再 检查 /etc/mail/access 文件 。 
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Access 文件 分 两 个 部 分 : 左边 是 和 人口 ,可 以 是 域名 、E-mail 地 址 、 本 地 用 户 名 部 分 和 


IP 地 址 ;右边 是 操作 标记 。 
OK 接收 E-mail, 即 使 被 其 他 规则 拒绝 了 。 
RELAY 允许 通过 该 邮件 主机 转发 的 域 ,转发 意味 着 OK 。 
REJECT 拒绝 E-mail 并 且 显 示 内 部 通过 的 错误 提示 。 
DISCARD 安静 地 接收 随后 取消 掉 这 封 邮 件 。 


XYZ some other text XYZ 是 RFC821 兼容 的 错误 代码 ,后 面 是 自 定 义 的 错误 


信息 。 
下 面 是 一 个 /etc/mail/access 的 样 例 。 
localhost. localdomain RELAY 
localhost RELAY 
127,0.0.1 RELAY 
192.168.1.1 RELAY 


它 除 了 对 本 机 转发 ,还 对 内 网 的 192. 168. 1. 1 地 址 进行 转发 。 若 使 每 一 次 的 修改 有 
效 ,必须 重新 生成 access 的 数据 库 文件 ,执行 如 下 命令 : 


#makemap- V hash /etc/mail/acoess < /etc/mail/acoess 


现在 192.168.1.1 就 可 以 使 用 主机 任意 发 送 邮 件 了 。 

3) 本 地 安全 性 配置 

smrsh 程序 的 目的 是 作为 在 mailer 中 为 Sendmail 定义 /bin/sh 的 替代 shell。smrsh 
是 一 种 受 限 shell 工具 , 它 通过 /etc/smrsh 目录 来 明确 指定 可 执行 文件 的 列表 。 简 而 言 
之 ,smrsh 限制 了 攻击 者 可 以 执行 的 程序 集 。 当 它 与 Sendmail 程序 一 起 使 用 的 时 候 ， 
smrsh 有 效 地 将 Sendmail 可 以 执行 程序 的 范围 限制 在 smrsh 目录 中 。 

方法 如 下 : 

# cd /etc/smrsh 

# In-s /bin/mail mail 

# ln - s /usr/bin/procmail procmail 

这 将 允许 位 于 . forward 和 aliases 中 的 用 户 采 用 管道 符 语法 program 来 运行 mail 及 
procmail 程序 。 

mailer 程序 在 Sendmail 的 配置 文件 /etc/sendmail. cf 中 仅 有 一 行 。 必 须 修改 
sendmail. cf 文件 中 Mprog 定义 的 那 一 行 ,将 /bin/sh 替换 为 /usr/sbin/smrsh。 这 样 ， 
Sendmail 就 使 用 受 限 shell, 增 加 了 本 地 安全 性 。 

修改 sendmail. cf 文件 如 下 : 


Mprog, FF- /bin/sh … 
将 其 改 为 : 
Mprog, pr usr/sbin/smrsh … 


重启 Sendmail 使 之 生效 : 
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# /etc/rc.d/init.d/sendrail restart 


如 果 没 有 加 以 正确 和 严格 的 管理 的 话 , 别 名 文件 被 用 来 获取 特权 。 例 如 ,很 多 发 行 
版 本 在 别名 文件 中 带 有 decode 别名 ,现在 这 种 情况 越 来 越 少 了 。 

这 样 做 的 目的 是 为 用 户 提供 一 个 通过 mail 传输 二 进 制 文件 的 方便 方式 。 在 邮件 的 
发 送 地 ,用 户 把 二 进 制 文件 用 uuencode 转换 成 ASCII 格式 ,并 把 结果 邮递 给 接收 地 
decode 别名 。 别 名 通过 管道 把 邮件 消息 发 送 到 /usr/bin/uuencode 程序 ,由 这 个 程序 来 
完成 从 ASCII 转 回 到 原始 的 二 进 制 文件 的 工作 。 

类 似 地 ,对 于 所 有 用 于 执行 没有 被 放 在 smrsh 目录 下 的 程序 的 别名 ,都 要 仔细 地 检 
查 ,可 能 它们 都 值得 怀疑 并 应 当 删 除 。 要 想 使 改变 生效 ,需要 运行 : 


# /usr/bin/newaliases 
编辑 别名 文件 (vi /etc/aliases) 并 删除 以 下 各 行 : 


# Basic system aliases - - these MUST be present 
MAITER- DAEMON: Fostmaster 


postmaster: Root 
# General redirections for pseudp accounts 
bin: Root 

Gaemon: Root 

Games: Root 删除 这 一 行 
ingres: Root 删除 这 一 行 
nobody: root 

System: root 删除 这 一 行 
toor: root 删除 这 一 行 
Uucp: root 删除 这 一 行 

# Well- nown aliases 

manager: root 删除 这 一 行 
dinper: root 删除 这 一 行 
Cperator:: root 删除 这 一 行 

# trap decode to catch security attacks 
deccde: root 删除 这 一 行 

# Person who should get root's mail 

# root: marc 


最 后 应 该 运行 /usr/bin/newaliases 程序 使 改动 生效 。 

最 新 版 本 的 Sendmail 8. 9.3 加 入 了 很 强 的 防止 欺骗 的 特性 。 它 们 可 以 防止 邮件 服 
务 器 被 未 授权 的 用 户 滥用 。 编 辑 /etc/sendmail. cf 文件 ,修改 一 下 配置 文件 ,使 邮件 服务 
器 能 够 挡住 欺骗 邮件 。 

编辑 sendmail. cf 文件 (vi /etc/sendmail. cf) 并 更 改 下 面 一 行 : 


O Privacyoptiocons= authwamings 
改 为 : 
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Privacyopticns= authwamings, noexpn, novrfy 

设置 noexpn 使 Sendmail 禁止 所 有 SMTP 的 EXPN 命令 , 它 也 使 Sendmail 拒绝 所 
有 SMTP 的 VERB 命令 。 设 置 novrfy 使 Sendmail 禁止 所 有 SMTP 的 VRFY 命令 。 这 
种 更 改 可 以 防止 欺骗 者 使 用 EXPN 和 VRFY 命令 ,而 这 些 命令 恰恰 被 那些 不 守 规 矩 的 
人 所 滥用 。 

当 Sendmail 接受 一 个 SMTP 连接 的 时 候 , 它 会 向 那 台 机 器 发 送 一 个 问候 信息 ,这 些 
信息 作为 本 台 主 机 的 标识 ,而 且 它 所 做 的 第 一 件 事 就 是 告诉 对 方 它 已 经 准备 好 了 。 

编辑 sendmail. cf 文件 (vi /etc/sendmail. cf) 并 更 改 下 面 一 行 : 

O SmtpGrestingMessage=$ j Sendrail $ vw/$ 27 $ b 

改 为 : 

O SmtpGreetingMessage=$ j Sendmail $ VW/$ 27 $ bND UE Cx Lx 

现在 手工 重启 一 下 Sendmail 进程 ,使 刚才 所 做 的 更 改 生效 : 


# /etc/rc.d/init.o/sendmail restart 


以 上 的 更 改 将 影响 到 Sendmail 在 接收 一 个 连接 时 所 显示 的 标志 信息 。 应 该 把 C= 
xx 工 一 xx 条 目 中 的 xx 换 成 所 在 的 国家 和 地 区 代码 。 

通常 情况 下 ,任何 人 都 可 以 使 用 mailg 命令 来 查看 邮件 队列 的 内 容 。 为 了 限制 可 以 
审核 邮件 队列 内 容 的 人 员 , 只 需要 在 /etc/sendmail. cf 文件 中 指定 restrictmailq 选项 即 
可 。 在 这 种 情况 下 ,Sendmail 只 允许 与 这 个 队列 所 在 目录 的 组 相同 的 用 户 可 以 查看 它 的 
内 容 , 人 允许 权 限 为 0700 的 邮件 队列 目录 被 完全 保护 起 来 ,而 限定 的 合法 用 户 仍然 可 以 看 
到 它 的 内 容 。 

编辑 sendmail. cf 文件 (vi /etc/sendmail. cf) 并 更 改 下 面 一 行 : 


O Privacyoptions= authwamings, noexpn, novrfy 

改 为 : 

O Privacyoptions= authwamings, noexpn, novrfy, restrictrmailq 
现在 更 改 邮件 队列 目录 的 权限 使 它 被 完全 保护 起 来 ; 
# chmod 0700 /var/spool /raveue 


注意 : 已 经 在 sendmail. cf 中 的 “PrivacyOptions 一 ” 行 中 添加 了 noexpn 和 novrfy 选 
项 ,现在 在 这 一 行 中 接着 添加 restrictmailq 选项 。 
任何 一 个 没有 特权 的 用 户 ,如 果 试 图 查看 邮件 队列 的 内 容 会 收 到 下 面 的 信息 : 


$ /usr/binfrailq 

You are not pemitted to see the queue 

限制 处 理 邮 件 队列 的 权限 为 root。 通 常 ,任何 人 都 可 以 使 用 -q 开关 来 处 理 邮 件 队 
列 ,为 限制 只 允许 root 处 理 邮件 队列 ,需要 在 /etc/sendmail. cf 文件 中 指定 restrictqrun 。 
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编辑 sendmail. cf 文件 (vi /etc/sendmail. cf) 并 更 改 下 面 一 行 : 

O PrivacyOptions= authwarnings，noesxpnry novrfy, restrictrailq 

改 为 : 

O Privacyoptions= authwarnings, noexpn, novrfy, restrictrailg, restrictorn 

任何 一 个 没有 特权 的 用 户 ,如 果 试 图 处 理 邮 件 队列 的 内 容 会 收 到 下 面 的 信息 : 


$ /usr/sbin/sencrail -q 

You dp not have pemission to Process the queue 

可 以 通过 使 用 chattr 命令 使 重要 的 Sendmail 文件 不 会 被 擅自 更 改 , 可 以 提高 系统 的 
安全 性 。 具 有 “十 1 属性 的 文件 不 能 被 修改 : 它 不 能 被 删除 和 改名 ,不 能 创建 到 这 个 文件 
的 链接 ,不 能 向 这 个 文件 写 人 数据 。 只 有 超级 用 户 才能 设置 和 清除 这 个 属性 。 

为 sendmail. cf 文件 设置 不 可 更 改 位 : # chattr 十 i /etc/sendmail. cf 

为 sendmail. cw 文件 设置 不 可 更 改 位 : # chattr 二 i /etc/sendmail. cw 

为 aliases 文件 设置 不 可 更 改 位 : # chattr 十 i /etc/aliases 

为 access 文件 设置 不 可 更 改 位 : # chattr 十 i /etc/mail/access 

为 null. mc 文件 设置 不 可 更 改 位 : # chattr 十 i /etc/null. mc 

为 sendmail. mc 文件 设置 不 可 更 改 位 : # chattr 十 i /etc/sendmail. mc 

从 8.9 版 本 开始 ,默认 的 是 不 允许 邮件 转发 的 。 最 简单 的 允许 邮件 转发 的 方法 是 在 
文件 /etc/mail/relay-domains 中 进行 设置 。 该 文件 中 列 出 的 域名 的 信件 都 允许 通过 本 地 
服务 器 进行 邮件 转发 。 

为 了 更 精确 的 设置 ,可 以 在 sendmail. mc 中 添加 如 下 几 个 参数 允许 被 用 来 设置 邮件 
转发 。 

FEATURE(relay_hosts_only): 通常 情况 下 ,在 文件 /etc/mail/relay-domains 中 列 
出 域名 的 主机 都 允许 通过 本 地 机 转发 ,而 该 设置 指定 必须 罗列 出 每 个 允许 通过 本 机 转发 
邮件 的 主机 。 

FEATURE(relay_entire_domain) : 该 参数 指示 允许 所 有 本 地 域 通过 本 机 进行 邮件 
转发 。 

FEATURE(access_db) : 该 参数 指定 利用 散 列 数据 库 /etc/mail/access 来 决定 是 否 
允许 某 个 主机 通过 本 地 进行 邮件 转发 。 

FEATURE(blacklist_recipients) : 若 该 参数 被 设置 , 则 在 决定 是 否 人 允许 某 个 主机 转 
发 邮件 的 同时 察看 邮件 发 送 地 址 和 邮件 目的 地 址 。 

FEATURE(rbl) : 允许 基于 maps. vix. com 由 黑 名 单 (Realtime BlackholeList) 进 行 
邮件 拒绝 ,防范 垃圾 邮件 。 

FEATURE(accept_unqualified_senders) : 允许 接受 发 送 者 地 址 不 包括 域名 的 邮件 ， 
例如 user, 而 不 是 user@C. NET。 

FEATURE(accept_unresolvable_domains) : 通常 来 讲 ,Sendmail 拒绝 接受 发 送 者 邮 
件 地 址 指定 的 主机 通过 DNS 不 能 解析 的 邮件 ,而 该 参数 允许 接收 这 种 邮件 。 
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FEATURE(relay_based_on_ MX) : 该 参数 允许 转发 邮件 接受 者 地 址 的 MX 记录 指 
向 本 地 的 邮件 。 例 如 ,本 地 接收 到 一 个 发 送 目的 地 址 为 user@b. com 的 邮件 ,而 b. com 
域名 的 MX 记录 指向 了 本 地 机 器 , 则 本 地 机 器 就 允许 转发 该 邮件 。 

下 面 几 个 特性 可 能 会 有 安全 漏洞 ,一 般 当 邮件 服务 器 位 于 防火 墙 后 面 时 才能 使 用 ， 
因为 这 些 参数 可 能 导致 系统 易于 被 垃圾 邮件 发 送 者 利用 。 

FEATURE(relay_local_from) : 该 参数 指定 若 消 息 自 称 源 于 本 地 域 , 则 人 允许 转发 该 
邮件 。 

FEATURE(promiscuous_relay): 打开 对 所 有 的 邮件 的 转发 。 

宏 配 置 文件 “sendmail. me” 设置 成 功 以 后 ,可 以 用 下 面 的 命令 创建 Sendmail 的 配置 
文件 : 


# od /var/bmp/sendmail- version/cf/cf/ 
# mA ../m/cf.m /etc/sendmail.mc> /etc/sendrail .cf 


注意 : 这 里 “.. /m4/cf. m4” 是 告诉 m4 程序 的 默认 配置 文件 路 径 。 


523 PCP 协议 的 安全 问题 


POP3 协议 , 即 邮局 协议 版 本 3, RFC1939 详细 描述 了 其 规范 和 命令 。 与 SMTP 协 
议 相 对 应 ,POP3 协议 用 于 收取 电子 邮件 。 

POP 协议 是 一 种 允许 用 户 从 邮件 服务 器 收发 邮件 的 协议 ,使 用 固定 的 端口 号 110 进 
行 邮件 的 收取 。 它 说 明 PC 如 何 与 Internet 上 的 邮件 服务 器 连接 及 如 何 下 载 E-mail。 
POP 协议 负责 将 邮件 通过 SLIP/PPP 连接 传送 到 用 户 的 主机 上 。 它 只 负责 接收 ,不 能 通 
过 它 发 送 邮件 。 通 常 来 说 ,POP 协议 有 2 个 版 本 , 即 POP2 和 POP3 ,都 具有 简单 的 电子 
邮件 存储 转发 功能 。POP2 与 POP3 本 质 上 类 似 , 都 属于 离线 式 工作 协议 ,但 是 由 于 使 用 
了 不 同 的 协议 端口 ,因此 ,两 者 并 不 兼容 。 本 节 将 探讨 POP 协议 的 安全 问题 。 


1. POP 协议 的 工作 原理 


一 般 来 说 ,人 们 习惯 称呼 POP 协议 为 POP 服务 器 。 目 前 在 Internet 上 的 大 多 数 
POP 服务 器 为 POP3 服务 器 。POP3 协议 与 SMTP 协议 相 结 合 , 是 目前 最 常用 的 电子 邮 
件 服务 协议 。SMTP 服务 器 将 邮件 发 送 给 POP3 服务 器 。 用 户 使 用 客户 端 邮件 软件 联 
系 POP3 服务 器 ,使 用 账号 和 密码 进行 身份 验证 之 后 ,用 户 将 待 发 邮件 从 本 地 发 送 到 服 
务 器 。POP3 服务 器 将 用 户 邮件 发 送 到 用 户 本 地 。 这 一 过 程 中 ,POP3 服务 器 本 身 也 是 
一 台 SMTP 服务 器 ,但 它 能 够 为 每 一 用 户 指定 一 个 单独 的 文件 夹 ,这 是 纯粹 的 SMTP 服 
务 器 所 不 能 做 到 的 。 

POP3 除了 支持 离线 工作 方式 外 ,还 支持 在 线 工作 方式 。 在 离线 工作 方式 下 ,用 户 收 
发 邮件 时 ,首先 ,通过 POP3 客户 端 程序 登录 到 支持 POP3 协议 的 邮件 服务 器 ,然后 发 送 
邮件 及 附件 。 其 次 ,邮件 服务 器 将 为 该 用 户 收 存 的 邮件 传送 给 POP3 客户 程序 ,并 将 这 
些 邮 件 从 服务 器 上 删除 。 最 后 ,邮件 服务 器 将 用 户 提交 发 送 的 邮件 ,转发 到 运行 SMTP 
协议 的 计算 机 中 ,通过 它 实现 邮件 的 最 终 发 送 。 在 为 用 户 从 邮件 服务 器 收取 邮件 时 ， 
POP3 是 以 该 用 户 当 前 存储 在 服务 器 上 的 全 部 邮件 为 对 象 进行 操作 的 ,并 一 次 性 将 它们 
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下 载 到 用 户 计算 机 中 。 一 旦 客户 的 邮件 下 载 完毕 ,邮件 服务 器 对 这 些 邮件 的 暂 存 托管 即 
告 完成 。 使 用 POP3 ,用 户 不 能 对 他 们 储存 在 邮件 服务 器 上 的 邮件 进行 部 分 传输 。 离 线 
工作 方式 适合 那些 从 固定 计算 机 上 收发 邮件 的 用 户 使 用 。 

当 使 用 POP3 在 线 工 作 方式 收发 邮件 时 ,用 户 是 在 所 用 的 计算 机 与 邮件 服务 器 保持 
连接 的 状态 下 读 取 邮 件 的 。 用 户 的 邮件 保留 在 邮件 服务 器 上 。 


2. POP3 协议 安全 性 分 析 


与 SMTP 协议 一 样 ,POP3 协议 也 具有 明文 传送 数据 的 不 安全 性 因素 。 例 如 ,user/ 
pass 命令 就 是 一 个 严重 的 漏洞 ,攻击 者 很 容易 窃听 到 用 户 名 和 密码 。 一 旦 密码 暴露 ,用 
户 的 一 切 邮件 将 完全 展现 在 攻击 者 面前 。 尽 管 POP3 协议 提供 了 一 个 APOP 命令 ,用 于 
对 用 户 身份 的 认证 ,具有 一 定 的 安全 性 ,但 其 提供 的 安全 性 能 却 是 有 限 的 和 不 完善 的 。 

该 命令 仅 对 用 户 名 和 密码 加 密 , 可 以 对 用 户 身 份 的 认证 起 到 一 定 的 保护 作用 ,而 对 
邮件 的 内 容 则 毫 无 保护 作用 ,无 法 抵御 被 动 攻击 ,即使 攻击 者 不 知道 用 户 密码 ,也 能 监听 
到 以 明文 形式 传递 的 邮件 内 容 。 

对 用 户 名 和 密码 的 安全 性 而 言 , 这 条 命令 的 作用 也 有 限 , 因 为 根据 APOP 命令 的 安 
全 机 制 , 要 保证 用 户 名 和 密码 的 安全 性 ,就 必须 保证 POP3 客户 端 和 服务 器 端 共 知 的 一 
个 秘密 字符 串 的 安全 性 。 一 旦 这 一 字符 串 泄露 , 则 APOP 命令 就 毫 无 安全 性 可 言 了 。 

RETR 和 TOP 命令 都 可 以 查看 邮件 内 容 。 在 邮件 内 容 传递 过 程 中 ,攻击 者 可 以 采 
取 被 动 攻 击 , 穷 听 邮 件 的 内 容 。 其 至 可 以 采取 主动 攻击 ,修改 邮件 内 容 , 欺 骗 接 收 端 用 
户 , 或 根据 邮件 的 内 容 , 假 冒 接收 端 用 户 欺骗 发 送 端 用 户 。 


3. 常用 的 POP3 命令 
表 5-1 列 出 了 常用 的 POP3 命令 。 
表 5-1 常用 的 POP3 命令 
命令 参 数 状态 描 述 


USER | Username 认可 此 命令 与 下 面 的 PASS 命令 若 成 功 , 将 导致 状态 转换 


PASS Password 认可 


APOP | Name、Digest | 认可 | Digest 是 MD5 消息 摘要 


STAT | None 处 理 | 请 求 服务 器 发 回 关 于 邮箱 的 统计 资料 ,如 邮件 总 数 和 总 字 节 数 
UIDL | [msg#] 处 理 | 返回 邮件 的 唯一 标识 符 ,POP3 会 话 的 每 个 标识 符 都 将 是 唯一 的 
LIST | [msg#] 处 理 | 返回 邮件 数量 和 每 个 邮件 的 大 小 

PETR | [msg#] 处 理 ”| 返回 由 参数 标识 的 邮件 的 全 部 文本 

DELE | [msg#] 处 理 | 服务 器 将 由 参数 标识 的 邮件 标记 为 删除 ,由 quit 命令 执行 
RSET | None 处 理 | 服务 器 将 重 置 所 有 标识 为 删除 的 邮件 ,用 于 撤销 DELE 命令 
TOP [msg#] 处 理 ”| 服务 器 将 返回 由 参数 标识 的 邮件 前 n 行 内容,n 必须 是 正 整数 
NOOP | None 处 理 | 服务 器 返回 一 个 肯定 的 响应 ,不 做 任何 操作 


QUIT | None 更 新 | 退出 
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这 12 条 命令 可 分 为 3 组 , 表 5-2 列 出 了 不 同 状 态 下 可 用 的 不 同 命 令 。 
表 5-2 POP3 状态 一 一 命令 对 照 表 


状态 可 用 命令 集 
验证 态 USER .PASS. APOP .QUIT 
传输 态 STAT.LIST.RETR.DELE.NOOP.RSET.QUIT,TOP.UIDL 
更 新 态 QUIT 


524 PEM 标 准 安全 问题 


通过 以 上 分 析 ,SMTP 和 POP3 两 项 协议 都 存在 着 严重 的 安全 漏洞 。 由 RFC1421、 
RFC1422、RFC1423 和 RFC1424 规定 的 Internet 保密 增强 邮件 标准 PEM 在 邮件 的 保密 
安全 性 方面 大 大 地 强 于 SMTP 和 POP3 协议 。RFC1421 介绍 了 消息 加 密 和 验证 过 程 ， 
RFC1422 给 出 了 基于 证 书 的 密 钥 管理 , RFC1423 讲述 了 算法 ,模式 和 身份 认证 ， 
RFC1424 讲述 了 密 钥 证 书 和 相关 服务 。PEM 的 最 大 特点 是 采用 了 公开 密 钥 管理 体制 及 
基于 这 种 体制 的 公开 密 钥 证 书 机 制 。 


1. PEM 消息 的 格式 


PEM 定义 了 四 种 格式 的 消息 : ENCRYPTEN MIC-ONLY MIC-CLEAR 和 CRL。 

ENCRYPTEN 消息 具有 可 信 性 、 真 实 性 ,提供 MIC 检查 。 

MIC-ONLY 比 ENCRYPTEN 消息 缺少 可 信 性 ,但 仍然 提供 MIC 检查 和 重 编码 。 

MIC-CLEAR 消息 比 MIC-ONLY 消息 缺少 重 编码 这 一 步 , 可 用 非 PEM 软件 查看 邮 
件 内 容 。 

CRL 消息 用 于 传输 注销 证 书 列表 之 用 .需要 签名 和 重 编码 。 

在 设计 和 实现 增强 型 保密 电子 邮件 时 ,为 了 尽 可 能 地 提高 电子 邮件 的 安全 性 能 , 考 
虑 到 信息 的 保密 性 、 真 实 性 ,完整 性 的 实现 ,详细 讨论 了 第 一 种 和 第 二 种 PEM 格式 ,因为 
第 一 种 和 第 二 种 格式 提供 的 安全 性 能 较 第 三 种 和 第 四 种 强 得 多 。 

ENCRYPTEN 消息 格式 如 表 5-3 所 示 ;MIC-ONLY 消息 格式 如 表 5-4 所 示 。 


表 5-3 ENCRYPTEN 消息 格式 


域 含义 、 内 容 
Pre-EB “-—BEGIN PRIVATE-ENHANCED MESSAGE—-” 
Proc-Type 定义 消息 处 理 类 型 ,此 种 格式 只 能 为 "4.ENCRYPTEN” 
Content-Domain 指明 消息 内 容 的 表示 方式 ,日 前 只 有 “RFC822” 一 种 
DEK-Info 指明 消息 使 用 的 加 密 算 法 和 参数 ,日 前 算法 标志 只 规定 了 “EDS-CBC” 
Orgin-Cert PEM 消息 发 送 方 证 书 
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续 表 
域 含义 、 内 容 
jay 定义 密 钥 管理 参数 ,包括 I 算法 标志 和 IK 加密 的 DEK。 在 此 处 的 Key-Info 
是 可 选 的 
IssuerCert 发 送 方 证 书签 发 者 证 书 
MIC-Info 消息 集成 校 验 信息 


Recpnt-ID-Asym 


接收 方 身份 ,包括 接收 方 证 书 管理 机 构 和 版 本 /有 效 期 


Key-Info 定义 密 钥 管理 参数 ,包括 I 算法 标志 和 ID 加 密 的 DEK 
PEM-Text PEM 消息 正文 
Post-EB “-—END PRIVACY-ENHAWCED MESSAGE—-” 
表 5-4 MIC-ONLY 消息 格式 
域 含义 、 内 容 
Pre-EB “BEGIN PRIVATE-ENHANCED MESSAGE—-” 
Proc-Type 定义 消息 处 理 类 型 ,此 种 格式 只 能 为 *4, MIC-ONLY” 


Content-Domain 


指明 消息 内 容 的 表示 方式 ,目前 只 有 “RFC822” 一 种 


Orgin-Cert PEM 消息 发 送 方 证 书 

Issuer-Cert 发 送 方 证 书签 发 者 证 书 

MIC-Info 消息 集成 校 验 信息 

PEM-Text PEM 消息 正文 

Post-EB “—END PRIVACY-ENHAWCED MESSAGE——” 


2. PEM 消息 加 密 和 验证 过 程 


PEM 使 用 两 级 密 钥 : 数据 加 密 密 钥 (DEK) 和 交换 密 钥 (IK)。PGP 采用 了 单 钥 公 开 
密 钥 管理 体制 ,DEK 用 来 加 密 消息 正文 和 计算 消息 集成 校 验 (MIC) ,同时 用 来 加 密 MIC 
的 签名 表示 。DEK 一 般 每 次 会 话 生 成 一 个 ,以 达到 “一 次 一 密 ” 的 效果 。 而 IK 用 来 加 密 
DEK ,以 便 在 每 次 会 话 的 初始 段 对 DEK 进行 加 密 交 换 。 加 密 DEK 的 IK 就 是 发 送 方 私 
钥 , 即 实现 对 MIC 的 签名 。 依 据 PEM 的 机 制 ,加 密 和 签名 过 程 的 表达 式 如 下 : 


Transmit- Fome Encode (Encrypt (Canonicalize (Local- FEonn)) 


图 5-2 为 PEM 邮件 加 密 签 名 生成 的 流程 。 
解密 和 验证 过 程 的 表达 式 为 : 


Iocal- Fomr DeCanonicalize ((Decrypt (Decode (Transmit— fomm))) 
5-3 为 PEM 邮件 接收 和 验证 的 流程 。 
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以 Local-Form 输入 邮件 正文 


1 
和 入 有 闻 件 
1 
A 析 取 PEM 部 分 
EGR 1 
填充 MIC-ONLY ENCRYPTEN 
MIC-ONLY ¥ MIC-CLEAR 解码 MIC-CLEAR 
加 密 
1 
检查 MIC 
编码 成 可 视 形式 
i 通过 
1 YES 
封装 成 产 消息 ENCRYPTEN | MIC-ONLY 
丰 
仍 入 到 邮件 正文 Le) MIC-CLEAR 
1 
发 送 邮 件 转换 成 Local-Form 形成 明文 邮件 
图 5-2 PEM 邮件 加 密 签名 生成 过 程 图 5-3 PEM 邮件 接收 和 验证 过 程 


3. PEM 密 钥 管 理 方式 


PEM 与 PGP 的 最 大 差别 在 于 PEM 采用 了 基于 证 书 的 密 钥 管理 体制 。 证 书 是 数字 
签名 、 身 份 认 证 、 密 钥 管 理 等 各 种 保密 措施 的 综合 运用 , 它 提供 的 安全 明显 高 于 PGP 等 
非 证 书 密 钥 管理 体制 。 

在 密 钥 交换 过 程 中 存在 着 一 个 通信 双方 身份 相互 认证 的 过 程 ,为 了 保护 对 方 身份 认 
证 过 程 的 正确 性 ,应 从 可 信 的 第 三 方 获得 对 方 的 公 钥 等 信息 。 这 个 可 信 的 第 三 方 就 被 称 
为 证 书 中 心 (certification authority,CA) 。 证 书 中 心 应 用 公 钥 算法 产生 用 户 证 书 以 保证 
用 户 身 份 的 合法 性 。 

证 书 中 心 通过 对 用 户 信息 进行 签名 产生 证 书 , 证 书 内 容 包 括 用户 名 .用 户 公 钥 和 一 
些 附 加 信息 。X. 509 标准 对 证 书 格式 有 详细 的 说 明 。 一 般 说 来 ,具体 的 用 户 证 书信 息 由 
签发 此 证 书 的 CA 确定 。 在 证 书 中 心 签 发 出 用 户 证 书后 ,证书 就 具有 两 个 特性 。 

(1) 任何 用 户 都 可 恢复 出 证 书 中 隐藏 的 公 钥 ,保证 用 户 能 得 到 证 书 中 心 的 公 钥 。 

(2) 证 书 是 不 可 伪造 的 ,只 有 证 书 中 心 可 以 更 改 证 书 。 

假设 用 户 名 为 A, 用 户 身份 号 为 UA ,证书 中 心 名 为 CA ,证 书 中 心身 份 号 为 UCA, 则 
CA 签发 的 证 书 如 下 : CA<<A>>>=CA{(V,SN,AI,CA,UCA,A,UA,AP,TA}。 其 
中 ,V 代表 证 书 的 版 本 号 ;SN 代表 证 书 的 系列 号 ;AI 代表 签发 证 书 所 用 的 加 密 算法 ; 
UCA 代表 证 书 中 心 的 身份 号 ,可 选 ;UA 代表 用 户 的 身份 号 ,可 选 ; AP 代表 用 户 的 公开 
密 钥 ;TA 代表 证 书 的 有 效 期 ,包括 一 个 证 书 有 效 起 始 时 间 和 失效 时 间 。PEM 使 用 的 证 
书 格式 如 表 5-5 所 示 。 
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表 5-5 PEM 证 书 格式 


域 内 容 
Version 证 书 版 本 号 ,以 便于 证 书 格式 的 更 新 
Serial Number 证 书 序列 号 ,具有 唯一 性 
Signature 证 书签 发 者 的 签名 ,包括 签名 算法 和 参数 
Issuer Name 证 书签 发 者 的 名 称 
Validate Period 证 书 有 效 期 
Subject Name 证 书 持 有 者 名 称 
Subject Publickey 证 书 持 有 者 公 铀 


证 书 中 心 签 发 证 书 时 ,将 涉及 证 书 的 申请 、 分 发 .存放 以 及 注销 、 失 效 等 一 系列 过 程 。 
这 些 过 程 ,除了 证 书 的 申请 ,都 可 以 通过 网 络 自 动 进行 。 证 书 的 存放 需要 维护 证 书库 ,所 
有 未 到 期 但 又 因 怀 疑 有 问题 而 注销 的 证 书 以 及 未 到 期 而 更 换 的 旧 证 书 须 放 入 “ 黑 名 单 
库 ”, 黑 名 单 库 对 网 络 中 的 所 有 用 户 公开 ,以 便于 用 户 在 解密 邮件 时 核对 对 方 证 书 的 有 


效 性 。 


由 于 地 域 的 广阔 性 和 用 户 的 复杂 性 ,使 用 单个 CA 管理 所 有 用 户 是 不 可 能 的 ,因此 ， 
就 必须 对 CA 分 级 ,实现 密 钥 的 分 级 管理 。 在 RFC1422 中 规定 证 书 的 管理 分 4 级 ， 
IPRA、PCA .CA 和 用 户 或 团体 。IPRA 是 Internet 注册 管理 局 ,是 在 Internet 内 所 有 的 
证 书 的 唯一 的 根 。IPRA 的 下 一 级 是 策略 证 书 管理 局 (PCA), 每 个 管理 局 负责 为 CA、 用 
户 或 机 构 注 册 。 每 个 PCA 由 IPRA 签发 证 书 , 在 PCA 的 下 一 级 设立 证 书 管理 局 (CA)， 


以 签证 用 户 和 下 属 机 构 , 大 多 数 用 户 都 会 在 这 些 机 构 中 
注册 。 但 也 有 一 些 用 户 希 望 独立 注册 ,这 就 需要 另外 的 
一 些 PCA 为 其 签发 证 书 。 这 样 ,这 4 级 模式 就 形成 了 
基于 证 书 的 密 钥 管 理 的 分 层 结构 。 即 使 分 为 4 层 的 证 
书 管理 在 一 些 情况 下 对 CA 来 说 也 是 太 过 庞大 ,所 以 在 
实际 应 用 中 CA 下 面 又 可 分 出 几 层 ,以 实现 证 书 链 的 管 
理 方 式 。 图 5-4 所 示 即 为 一 简单 证 书 链 。 


4. PEM 工作 原理 


(1) A、B 分 别 向 某 个 CA 申请 各 自 的 证 书 。 
(2) A 要 向 B 发 送 邮件 ,必须 先 获得 B 的 证 书 。 


(3) A 获得 为 B 签 发 证 书 的 CA 证 书 , 验 证 该 证 书 的 有 效 性 。 


CA 


“|RA| 


RA 


用 户 … 


团体 用 户 … 


图 5-4 证 书 链 


(4) 验证 通过 后 ,A 利用 证 书 中 的 B 的 公 钥 .生成 PEM 邮件 发 送 给 B。 
(5) B 收 到 邮件 后 ,要 检查 邮件 的 真实 性 ,必须 获得 A 的 证 书 。 
(6) B 为 了 验证 A 的 证 书 的 合法 性 ,要 获得 A 端 CA 的 证 书 。 


(7) B 验证 A 的 证 书 合法 后 ,解密 PEM 邮件 。 
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5. PEM 安全 性 分 析 


PEM 标准 将 各 种 安全 技术 综合 于 一 体 ,其 安全 性 几乎 是 无 懈 可 击 的 。 但 是 在 密 钥 
管理 方面 ,虽然 应 用 了 基于 证 书 的 密 钥 管理 ,其 中 仍 有 一 些小 小 的 不 足 之 处 。 在 证 书 申 
请 时 ,用户 需 将 自己 的 公 钥 置 于 申请 书 中 ,形成 申请 证 书 报 盘 。 但 这 时 公 钥 不 能 加 密 ,和 否 
则 别 的 用 户 包括 CA 就 会 将 加 密 的 公 钥 当做 公 钥 本 身 使 用 ,使 申请 的 证 书 无 效 或 别 的 用 
户 根本 无 法 使 用 此 证 书 。 既 然 证 书 申请 不 能 加 密 , 如 果 在 申请 报 盘 时 被 第 三 者 截获 ,用 
自己 的 公 钥 替代 申请 书 中 的 公 钥 ,而 CA 签发 的 证 书 由 于 CA 无 法 察觉 公 钥 的 正确 与 否 
而 被 认为 有 效 ,那么 以 后 所 有 发 给 证 书 申 请 者 的 邮件 都 可 能 被 第 三 者 截获 并 解密 ,PEM 
就 堂 无 安全 性 可 言 了 。 因 此 ,在 实际 解决 这 个 问题 时 ,证 书 申请 报 盘 不 能 通过 网 络 自 动 
运行 ,必须 由 用 户 按 规定 填写 证 书 文件 ,生成 公开 密 钥 对 ,产生 申请 报 盘 ,由 人 工 送 至 CA 
处 进行 证 书 申请 。 
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1. 对 电子 邮件 进行 加 密 


既然 没有 任何 办 法 可 以 阻止 攻击 者 截获 在 网 络 上 传输 的 数据 包 , 那 么 ,唯一 能 采取 
的 措施 就 是 在 发 送 邮件 前 对 其 进行 数字 加 密 处 理 , 接 收 方 接 到 电子 邮件 后 对 其 进行 数字 
解密 处 理 。 这 样 , 即 使 攻击 者 截获 了 电子 邮件 ,他 面 对 的 也 只 是 一 堆 没有 任何 意义 的 乱 
码 。 加 密 , 是 指 将 一 个 明文 信息 经 过 加 密 密 钥 及 加 密 函 数 的 转换 , 变 成 无 意义 的 密 文 , 当 
需要 的 时 候 则 将 此 密 文 经 过 解密 函数 ,解密 密 钥 还 原 成 明文 。 最 常用 的 加 密 软件 是 PGP 
(pretty good pri-vacy)。PGP 是 一 个 基于 RSA(rivest shamir adleman) 公 钥 加 密 体系 的 
邮件 加 密 软 件 , 它 提出 了 公共 钥匙 或 不 对 称 文件 加 密 和 数字 签名 。RSA 算法 是 一 种 基于 
大 数 不 可 能 质 因数 分 解 假设 的 公 钥 体系 。 简 单 地 说 ,就 是 找 两 个 很 大 的 质数 ,一 个 公 
给 世界 , 称 为 * 公 钥 ”, 另 一 个 不 告诉 任何 人 . 称 为 “ 私 钥 ”"。 两 把 密 钥 互补 一 一 用 公 钥 加 密 
的 密 文 可 以 用 私 钥 解密 , 反 过 来 也 一 样 。 假 设 A 寄 信和 给 B. 他 们 知道 对 方 的 公 钥 , A 可 以 
用 B 的 公 钥 加 密 邮 件 寄 出 , B 收 到 后 用 自己 的 私 钥 解 出 A 的 原文 。 这 样 就 保证 了 邮件 
的 安全 ,以 防止 非 授权 者 阅读 ,还 能 对 邮件 进行 数字 签名 从 而 使 B 确信 邮件 是 由 A 发 
出 的 。 


2. 对 邮件 和 系统 进行 病毒 防护 


1) 选择 一 款 可 靠 的 防毒 软件 

目前 常用 的 防毒 软件 有 瑞星 、KV3000、KILL, 金 山 毒 堪 、 诺 顿 等 ,用 户 可 打开 防毒 软 
件 的 电子 邮件 扫描 功能 ,对 来 往 邮件 的 病毒 进行 拦截 ,可 有 效 防止 邮件 病毒 的 侵入 ,并 防 
止 将 感染 病毒 的 电子 邮件 发 送 给 其 他 用 户 。 

2) 及 时 升级 病毒 库 

计算 机 病毒 在 不 断 产 生 并 演化 变 体 . 反 病毒 软件 生产 商都 会 根据 最 近 新 发 现 的 病毒 
情况 ,随时 补充 新 病毒 代码 到 病毒 库 中 ,因此 ,及 时 升级 防 病毒 软件 是 必须 做 的 工作 。 
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3) 识别 邮件 病毒 

一 些 邮 件 病毒 具有 广泛 的 共同 特征 , 找 出 它们 的 共同 点 可 以 防止 病毒 的 破坏 。 当 收 
到 邮件 时 , 先 看 邮件 大 小 及 对 方 地 址 ,如 果 发 现 邮 件 中 无 内 容 、 无 附件 .邮件 自身 的 大 小 
又 有 几 十 K 或 更 大 、 附 件 的 后 缀 名 是 双 后 级 等 ,那么 此 类 邮件 中 极 可 能 包含 有 病毒 ,可 直 
接 删 除 此 邮件 ,然后 再 清空 废 件 箱 。 在 清空 废 件 箱 后 ,一 定 要 搜索 一 遍 邮 箱 ;否则 杀毒 软 
件 在 下 次 查 毒 时 还 会 报 病毒 。 

4) 打开 实时 监控 防火 墙 

实时 监控 技术 为 电子 邮件 和 系统 安全 构筑 起 一 道 动 态 、 实 时 的 反 病毒 防线 , 它 通过 
修改 操作 系统 ,使 操作 系统 本 身 具备 反 病 毒 功 能 , 拒 病毒 于 计算 机 系统 之 门 外 。 优 秀 的 
反 病毒 软件 由 于 采用 与 操作 系统 的 底层 无 缝 连接 技术 ,实时 监控 器 占用 的 系统 资源 极 
小 ,用 户 几 乎 感觉 不 到 其 对 机 器 性 能 的 影响 ,并 且 不 用 考虑 病毒 的 入 侵 问 题 。 

5) 投石 问 路 

当 遇 到 带 有 附件 的 邮件 时 ,如 果 附 件 为 可 执行 文件 (*. exe、* .com) 或 带 有 宏 功 能 
的 Word 文档 时 ,不 要 选择 打开 ,可 以 用 两 种 方法 来 检测 是 否 带 有 病毒 。 一 种 是 利用 杀毒 
软件 的 邮件 病毒 监视 功能 来 过 滤 邮 件 中 的 病毒 ; 另 一 种 是 把 附件 先 另存 在 硬盘 上 ,然后 
利用 杀毒 软件 进行 查 毒 。 

6) 尽量 不 在 “地址 德 ?中 设置 联系 名 单 

因为 一 旦 被 病毒 感染 ,病毒 会 通过 邮件 “地 址 簿 "中 联系 人 的 邮箱 来 传播 。 

7) 少 使 用 信纸 模块 

信纸 模块 往往 是 一 些 脚本 文件 ,如 果 模 块 感染 了 脚本 病毒 ,如 欢乐 时 光 、VBS/KJ 
等 ,那么 用 户 使 用 信纸 发 出 去 的 邮件 就 带 有 病毒 了 。 

8) 设置 邮箱 自动 过 滤 功 能 

通过 Web 上 网 收发 邮件 的 用 户 可 以 把 陌生 的 邮件 人 地 址 列 入 自动 过 滤 , 以 后 就 不 
会 再 有 相同 地 址 的 邮件 出 现 了 。 这 样 不 仅 能 够 防止 垃圾 邮件 ,还 可 以 过 滤 掉 一 些 带 病毒 
邮件 ,使 其 不 进入 收 件 箱 中 ,减少 病毒 感染 的 机 会 。 

9) 不 使 用 邮件 软件 中 的 预览 功能 

目前 ,一 些 感染 性 、 破 坏 力 较 强 的 病毒 往往 是 不 需要 打开 邮件 通过 邮件 预览 时 进行 
感染 。 如 果 使 用 outlook 收发 邮件 ,建议 用 户 关 掉 邮箱 工具 的 预览 项 或 者 升级 微软 的 最 
新 补丁 ,以 预防 outlook 接收 邮件 时 被 感染 。 如 果 使 用 的 是 foxmail, 在 当前 账户 属性 中 
模块 项 选择 纯 文本 格式 。 


3. 垃圾 邮件 和 邮件 炸弹 的 防范 措施 


(1) 不 要 随便 公开 自己 的 信箱 地 址 ,尤其 是 ISP 信箱 。 即 使 要 公开 也 得 做 些 技术 加 
工 , 比 如 Bill#163. net 或 以 图 片 代 替 , 加 了 这 类 符号 可 逃 过 专业 邮寄 地 址 分 离 器 的 搜索 ， 
而 对 方 也 看 得 懂 。 如 因 工 作 需 要 , 既 要 使 用 对 外 公开 的 邮箱 ,又 要 经 常 发 送 一 些 相对 保 
密 的 邮件 最 好 使 用 两 个 甚至 两 个 以 上 的 邮箱 ,用 不 同 的 邮箱 联系 不 同 的 人 ,这 样 即使 受 
到 攻击 也 不 会 造成 过 多 的 损失 。 

(2) 对 付 垃 圾 邮件 最 好 使 用 垃圾 邮件 清除 软件 进行 过 滤 、 自 动 删除 ,它们 可 以 为 用 户 
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提供 方便 而 强大 的 保护 。 常 用 的 有 Spamkiller (垃圾 邮件 杀手 ) .SpamEater Pro (垃圾 邮 
件 吞 食 者 )、Spam Attack Pro (垃圾 邮件 终结 者 ) 等 。 也 可 使 用 BombCleaner 等 炸弹 清理 
软件 ,在 不 接收 信件 的 时 候 查 看 邮件 清单 ,从 中 选择 垃圾 信件 进行 远程 删除 ,这 样 既 节约 
了 大 量 下 载 信件 的 时 间 ,又 堵 住 了 通过 电子 邮件 传播 的 病毒 。 

(3) 用 户 在 设置 “过滤 ?时 ,要 注意 “接收 信件 大 小 ?选项 ,一 般 将 这 个 数值 控制 在 电子 
信箱 容量 的 1/3 左右 。 如 果 发 过 来 的 信件 大 小 超过 了 这 个 数值 ,就 被 认为 是 邮件 炸弹 而 
直接 被 系统 舍弃 ,这 样 邮件 炸弹 就 毫 无 威胁 可 言 。 

(4) 电子 邮件 的 过 滤器 可 使 用 户 按照 邮件 的 来 源 、 主 题 \ 长 度 、 接 收 者 来 设置 过 滤 规 
则 。 过 滤器 可 设置 在 本 地 的 电子 邮件 客户 端 程序 上 ,也 可 通过 浏览 器 在 POP3 信箱 的 内 
部 进行 设置 。 前 者 是 在 接收 电子 邮件 的 时 候 对 邮件 是 否 属 于 垃圾 或 炸弹 进行 判断 ,其 缺 
点 是 在 信箱 被 塞 满 的 时 候 失效 。 后 者 是 通过 浏览 器 登录 到 POP3 服务 器 上 ,进入 自己 的 
信箱 ,找到 “邮件 收发 设置 ", 并 且 在 其 中 的 过 滤器 内 填写 有 关 发 送 垃圾 邮件 的 邮件 地 址 ， 
确认 保存 后 就 能 在 服务 器 上 过 滤 掉 垃圾 邮件 和 炸弹 邮件 ,确保 信箱 的 安全 。 


4. 采用 防火 墙 技术 


防火 墙 是 在 受 保护 的 内 部 网 和 外 部 网 之 间 建 立 的 网 络 通信 安全 监控 系统 ,也 可 称 为 
控制 进 /出 两 个 方向 通信 的 门槛 。 在 网 络 边 界 上 通过 建立 起 来 的 相应 网 络 通信 监控 系统 
来 隔离 内 部 和 外 部 网 络 , 以 阻挡 外 部 网 络 的 侵入 。 目 前 的 防火 墙 主要 有 包 过 滤 防 火 墙 、 
代理 防火 墙 和 双 穴 主机 防火 墙 3 种 类 型 。 其 中 应 用 最 广泛 的 防火 墙 为 代理 防火 墙 又 称 
应 用 层 网 关 级 防火 墙 , 它 是 由 代理 服务 器 和 过 滤 路 由 器 组 成 。 过 滤 路 由 器 负责 网 络 互 
联 ,并 对 数据 进行 严格 选择 ,然后 将 筛选 过 的 数据 传送 给 代理 服务 器 。 代 理 服务 器 起 到 
外 部 网 络 申请 访问 内 部 网 络 的 中 间 转 接 作 用 ,其 功能 类 似 于 一 个 数据 转发 器 , 它 主 要 控 
制 哪些 用 户 能 访问 哪些 服务 类 型 。 当 外 部 网 络 向 内 部 网 络 申请 某 种 网 络 服务 时 ,代理 服 
务 器 接受 申请 ,然后 它 根据 其 服务 类 型 .服务 内 容 、 被 服务 的 对 象 、 服 务 者 申请 的 时 间 、 申 
请 者 的 域名 范围 等 来 决定 是 否 接 受 此 项 服务 。 如 果 接 受 , 它 就 向 内 部 网 络 转发 这 项 请 
求 ,从 而 保护 了 内 部 网 络 不 被 非法 访问 。 

基于 以 上 分 析 , 可 以 看 出 利用 防火 墙 可 以 加 强 邮 件 的 安全 性 。 合 理 配制 防火 墙 可 以 
限制 邮件 的 访问 ,使 之 只 发 送 到 有 限 的 几 个 机 器 上 。 加 强 对 这 些 机 器 的 防范 ,可 将 这 些 
机 器 作为 进入 内 部 网 络 的 网 关 来 控制 邮件 的 出 入, 因此 ,用 防火 墙 来 对 付 邮件 炸弹 的 缀 
炸 是 非常 有 益 的 。 合 理 设置 防火 墙 可 确保 所 有 外 部 的 SMTP 联接 到 一 个 邮件 服务 器 上 ， 
这 样 会 有 一 个 集中 的 登录 地 点 ,便于 追踪 不 正常 的 邮件 。 


53 Web 安全 和 菜 略 


随 着 网 络 应 用 之 间 通 信和 互 操作 的 增多 ,基于 Web 服务 的 应 用 也 在 快速 发 展 。Web 
服务 是 一 种 完全 建立 在 现 有 互联 网 标准 之 上 、 松 散 耦 合 的 、 跨 语言 和 平台 的 应 用 程序 之 
间 通 信 的 标准 方法 。Web 服务 及 其 安全 性 的 研究 正 受 到 人 们 日 益 广泛 的 关注 。 

在 分 布 式 网 络 环境 中 ,全 面 的 安全 Web 服务 依赖 于 每 一 个 参与 的 系统 ,以 及 它们 之 
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间 的 协同 工作 。Web 服务 的 基础 是 简单 对 象 访问 协议 SOAP , 它 是 在 分 布 式 环境 中 交换 
信息 的 简单 的 XML 文本 协议 ,因为 本 身 具 有 安全 隐患 ,从 而 也 就 决定 了 Web 服务 本 身 
存在 一 定 的 安全 问题 。 一 般 而 言 ,信息 传输 的 安全 要 求 有 以 下 几 点 : 保密 性 ,保证 没有 经 
过 授权 的 用 户 .实体 或 进程 无 法 穷 取 信息 ;授权 ,确定 允许 用 户 做 什么 的 过 程 :数据 完整 
性 ,信息 在 传送 的 过 程 中 保持 完整 和 统一 ;信息 源 认证 ,对 信息 或 数据 的 发 送 者 进行 的 标 
识 ; 不 可 否认 性 ,保证 信息 的 发 送 者 不 能 否认 对 信息 的 发 送 。 


531 WW 面临 的 安全 威胁 


WWW 应 用 由 3 个 部 分 构成 : 提供 WWW 服务 的 WWW 服务 器 .使 用 WWW 服务 
的 WWW 浏览 器 以 及 传递 浏览 器 和 服务 器 之 间 服 务 请 求 和 响应 报 文 的 网 络 。 这 3 个 部 
分 都 面临 安全 的 威胁 。 

从 服务 器 角度 看 , WWW 服务 器 通常 作为 某 个 机 构 向 外 发 布 信息 的 一 个 公共 信息 服 
务 的 窗口 , 它 应 该 允许 任何 用 户 访问 WWW 服务 器 。 而 根据 网 络 安全 的 要 求 , 安 全 的 网 
络 服务 器 必须 对 用 户 进行 身份 验证 ,不 能 允许 匿名 者 访问 。 这 样 ,WWW 提供 的 服务 本 
身 就 与 网 络 安全 要 求 相 互 矛盾 。 

万 维 网 服务 器 安全 漏洞 主要 源 于 两 个 方面 : 一 是 WWW 服务 器 软件 错误 而 产生 的 
安全 漏洞 ;二 是 WWW 服务 器 配置 不 当 而 产生 的 安全 漏洞 。 这 些 安全 漏洞 都 会 允许 远 地 
网 络 用 户 非法 进入 WWW 服务 器 ,窃取 其 中 非 公 开 的 数据 和 文件 ,执行 非 授 权 的 修改 系 
统 的 命令 ,发 起 “拒绝 服务 ”攻击 ,使 WWW 服务 器 处 于 “不 可 用 ”状态 。 

WWW 服务 器 上 的 安全 漏洞 在 某 种 程度 上 是 不 可 弥补 的 ,因为 根据 目前 的 软件 技术 
水 平 ,复杂 而 庞大 的 软件 系统 一 定 会 有 软件 错误 。 而 WWW 应 用 就 是 一 个 复杂 而 庞大 的 
软件 系统 ,确实 已 经 发 现 了 不 少 软件 错误 。 复 杂 而 庞大 的 软件 系统 配置 也 相应 比较 复 
杂 , 很 容易 发 生 配 置 错误 。 

在 这 种 软件 错误 和 人 为 配置 错误 存在 的 情况 下 ,对 WWW 服务 器 进行 安全 保护 ,是 
一 项 目前 尚未 成 熟 的 技术 ,只 能 通过 一 些 技巧 处 理 。 例 如 ,通过 一 些 受 控 的 网 络 攻击 软 
件 , 自 动 进行 “ 受 控 ”网 络 攻击 ,检测 WWW 服务 器 的 安全 漏洞 。 这 里 的 关键 是 “ 受 控 ” 攻 
击 ,否则 会 产生 截然 相反 的 效果 。 另 外 ,也 可 以 及 时 浏览 安全 预警 网 站 ,及 时 获得 有 关 软 
件 错误 的 信息 ,及 时 更 新 软件 版 本 。 

从 浏览 器 角度 看 .WWW 浏览 器 的 作用 就 是 在 公共 互联 网 上 发 现 感 兴趣 的 WWW 
网 站 ,浏览 并 且 下 载 这 些 WWW 服务 器 上 有 价值 的 信息 。 但 是 ,由 于 现在 浏览 器 都 支持 
Java 语言 和 Java 脚本 这 类 移动 代码 编制 的 动态 内 容 ,这 些 内 容 可 以 在 浏览 器 上 运行 。 如 
果 这 些 动态 内 容 中 嵌入 恶意 代码 , 则 会 破坏 浏览 器 、 损 伤 浏览 器 所 在 的 计算 机 系统 .窃取 
浏览 器 所 在 的 计算 机 系统 中 用 户 的 敏感 数据 等 。 从 浏览 器 角度 防范 恶意 代码 ,这 既 属于 
一 类 蠕虫 防范 问题 ,也 属于 WWW 安全 问题 。 这 类 客户 端 系统 防范 网 络 攻击 问题 是 目前 
比较 困难 的 安全 问题 。 

从 网 络 角度 看 ,主要 的 安全 危险 来 自 于 对 WWW 浏览 器 和 服务 器 之 间 传 递 数 据 的 窃 
听 , 算 改 、 假 冒 和 重播 报 文 攻击 ,这 也 是 网 络 安全 主要 研究 的 问题 。 这 方面 目前 已 有 比较 
有 效 的 安全 技术 ,例如 ,前 面 章节 介绍 的 传送 层 安 全 技术 中 的 安全 套 接 层 (SSL) 技 术 就 是 
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针对 WWW 浏览 器 和 服务 器 之 间 保密 、 完 整地 进行 数据 交互 而 设计 的 。 
532 WWW 安 全 防范 技术 


根据 以 上 对 WWW 应 用 环境 下 安全 威胁 的 分 析 , 可 以 将 WWW 的 安全 防范 技术 分 
成 3 个 域 : 浏览 器 安全 防范 域 . 网 络 安全 防范 域 以 及 服务 器 安全 防范 域 。 需 要 说 明 的 是 ， 
进行 WWW 的 安全 防范 实际 上 就 是 保证 WWW 服务 的 保密 性 、 完 整 性 和 可 用 性 。 

从 目前 的 网 络 安全 技术 看 ,保证 WWW 服务 的 保密 性 和 完整 性 技术 比较 成 熟 。 可 以 采 
用 在 前 面 章节 介绍 的 传送 层 安全 技术 中 的 安全 套 接 层 (SSL) 技 术 , 在 WWW 浏览 器 和 服务 
器 之 间 建 立 一 条 SSL 秘密 通道 ,所 有 在 浏览 器 和 服务 器 之 间 传 递 的 报 文 都 经 过 加 密 和 签名 
之 后 才 在 网 络 环境 下 传递 。 这 样 , 如 果 浏 览 器 用 户 保管 好 自己 的 私 钥 , 就 可 以 防范 网 络 攻 
击 者 对 WWW 浏览 器 和 服务 器 之 间 传递 数据 的 窃听 、 算 改 , 假 冒 和 重播 报 文 攻击 。 

但 是 ,目前 的 网 络 安全 技术 尚 不 能 保证 WWW 服务 器 .浏览 器 和 网 络 的 可 用 性 , 即 目 
前 还 无 法 完全 防范 “拒绝 服务 ”类 的 网 络 攻击 以 及 探测 系统 漏洞 进行 “网 络 蠕虫 "攻击 的 
网 络 威胁 。 实 际 上 ,目前 对 网 络 最 大 的 安全 威胁 就 来 自 于 分 布 式 “拒绝 服务 ”攻击 以 及 
“网 络 蠕 虫 ”攻击 。 

当然 ,目前 也 设计 了 一 些 保 护 WWW 浏览 器 和 服务 器 可 用 性 的 技术 ,例如 ,在 公共 
WWW 服务 器 前 端 设 置 一 个 WWW 服务 器 防火 墙 ,用 于 过 滤 异 常 的 WWW 服务 请 求 , 保 
护 WWW 服务 器 不 受 “ 拒 绝 服务 "这 类 攻击 。 这 种 WWW 防火 墙 是 专门 针对 WWW 服 
务 器 设计 的 一 个 访问 控制 系统 , 它 本 身 携带 安全 策略 库 和 审核 数据 库 , 用 于 控制 进出 
WWW 服务 器 的 报 文 。 它 比 一 般 的 网 络 防火 墙 针 对 性 强 ,可 以 制定 较为 详细 的 、 有 针对 
性 的 安全 控制 策略 ,并 且 可 以 通过 及 时 调整 安全 控制 策略 ,防范 潜在 的 网 络 攻 击 。 

在 浏览 器 上 也 设计 了 类 似 专 用 防火 墙 的 技术 ,用 于 过 滤 进 入 浏览 器 的 数据 ,包括 
Java 语言 和 Java 脚本 编制 的 动态 代码 ,通过 特征 分 析 剔 除 可 能 的 恶意 代码 。 


533 ”Windws IIS 安全 设置 


1. 安全 性 


(1) 摘要 式 身 份 验证 在 使 用 HTTP 端口 的 情况 下 ,提供 了 可 靠 的 安全 性 。 由 于 使 用 
HTTP 端口 ,摘要 式 身 份 验 证 允许 跨 代理 服务 器 和 防火 墙 对 用 户 进行 安全 和 严格 的 身份 
验证 。 另 外 ,还 可 进行 匿名 .HTTP 以 及 集成 Windows 身份 验证 。 

(2) 安全 套 接 字 协 议 层 (SSL) 3.0 和 传输 协议 层 安全 (TLS) 提 供 了 一 种 客户 端 与 服务 
器 之 间 进 行 信息 交换 的 安全 方式 。 另 外 ,SSL 3.0 和 TLS 还 为 服务 器 提供 了 一 种 在 用 户 登 
录 服 务 器 之 前 对 客户 端 进行 验证 的 方法 。 在 IIS 5.0 中 ,ISAPI 和 Active Server Pages 都 可 
以 访问 客户 证 书 ,以 便 编程 人 员 通 过 其 站 点 跟踪 用 户 。 同 时 ,IIS 5. 0 还 可 以 将 客户 证 书 映 
射 为 Windows 账户 ,以 便 管 理 员 可 以 根据 客户 证 书 控制 对 系统 资源 的 访问 。 

(3) 服务 器 网 关 加 密 (SGC) 是 SSL 的 扩展 ,允许 使 用 IIS 出 口 版 的 金融 系统 采取 加 
密 性 能 更 高 的 128 位 加 密 。 虽 然 IIS 5.0 中 已 内 置 了 SGC 功能 ,但 使 用 SGC 时 仍然 需要 
特殊 的 SGC 证 书 。 
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(4)“Web 服务 器 证 书 向 导 ” 简 化 了 证 书 管理 任务 ,如 创建 证 书 请 求 以 及 管理 证 书生 
存 期 。“ 权 限 向 导 ” 通 过 向 虚拟 目录 和 文件 分 配 访问 策略 的 方式 ,从 而 简化 了 配置 Web 
站 点 访问 的 任务 。“ 权 限 向 导 ” 还 可 以 更 新 NTFS 文件 权限 来 反映 Web 访问 策略 。 
“CTL 向 导 ” 可 帮助 配置 证 书信 任 列表 (CTL)。CTL 是 特定 目录 的 可 信 证 书 颁发 机 构 列 
表 (CA)。CTL 对 于 那些 在 服务 器 上 有 同一 个 Web 站 点 ,并 且 要 求 每 个 站 点 拥有 不 同 可 
信 证 书 颁发 机 构 列 表 的 Internet 服务 提供 商 (ISP) 尤 其 有 用 。 

(5) IP 地 址 及 Internet 域 限 制 , 可 以 授予 或 拒绝 单 台 计算 机 、 计 算 机 组 或 整个 域 对 
Web 的 访问 。 

(6) Kerberos 5 身份 验证 协议 相 容 性 ,IIS 已 完全 集成 了 Windows 2000 中 实现 的 
Kerberos 5 验证 协议 ,从 而 允许 用 户 在 运行 Windows 的 计算 机 之 间 传 递 验 证 凭据 。 

(7) IIS 证 书 存储 目前 已 与 Windows CryptoAPI 存储 集成 在 一 起 。Windows 
Certificate Manager 提供 单一 入 口 ,允许 用 户 存储 、 备 份 和 配置 服务 器 证 书 。 


2. 可 管理 性 


(1) 重新 启动 IS。 现 在 不 用 重新 启动 计算 机 就 可 以 重新 启动 IIS 服务 。 
(2) 备份 和 还 原 IIS。 可 以 备份 和 存储 metabase 设置 ,以 便 更 容易 返回 已 知 的 安全 


(3) 进程 账户 。 提 供 关于 单个 Web 站 点 如 何 使 用 服务 器 中 CPU 资源 的 信息 。 此 信 
息 在 判断 哪些 站 点 正在 不 成 比例 地 使 用 CPU 资源 或 者 具有 不 正常 的 脚本 和 CGI 进程 时 
非常 有 用 。 

(4) 进程 限制 。 可 以 限制 CPU 在 处 理 单个 Web 站 点 的 进程 外 ASP、ISAPI 以 及 
CGI 应 用 程序 的 时 间 百 分 比 。 另 外 ,还 可 以 终止 和 重新 启动 行动 失常 的 进程 。 

(5) 改进 的 自 定义 错误 消息 。 当 Web 站 点 出 现 HTTP 错误 时 ,管理 员 可 以 向 用 户 
发 送 消息 。 同 时 ,通过 使 用 500-100. asp 自 定义 错误 消息 ,还 可 以 包含 详细 的 ASP 错误 
进程 功能 。 可 以 使 用 IIS 5.0 提供 的 自 定义 错误 消息 ,也 可 自 定义 错误 消息 。 

(6) 配置 选项 。 可 以 在 站 点 、 目 录 或 文件 级 别 设置 “ 读 取 ”“ 写 入 ”“ 执 行 "“ 脚 本 ”， 
以 及 "FrontPage Web” 操 作 的 权限 。 

(7) 远程 管理 。IIS 5.0 已 经 包含 一 些 基于 Web 的 管理 工具 ,可 以 从 任何 平台 的 几 
乎 所 有 浏览 器 上 远程 管理 服务 器 。 利 用 IIS 5. 0, 可 以 设置 称 为 操作 员 的 管理 账户 ,使 之 
具备 一 定 的 Web 站 点 管理 权限 ,帮助 分 担 一 部 分 管理 任务 。 

(8) 终端 服务 。 终 端 服务 属于 Windows 2000 的 一 种 功能 ,人 允许 用 户 在 终端 以 及 在 
个 人 计算 机 和 其 他 计算 机 桌面 上 运行 的 终端 模拟 程序 上 运行 32 位 的 Windows 应 用 程 
序 。 终 端 服务 事实 上 人 允许 任何 桌面 运行 服务 器 上 的 应 用 程序 ,这 样 就 可 以 远程 管理 IIS 
等 Windows 2000 服务 ,包括 从 旧 的 PC, 甚 至 从 非 PC 设备 进行 管理 ,用 户 好 像 就 在 服务 
器 控制 台 前 一 样 。 

(9) 集中 管理 。IIS 使 用 Microsoft Management Console(MMC) 时 的 管理 工具 。 
MMC 支持 管理 员 用 于 管理 服务 器 的 程序 , 称 为 管理 单元 。 可 以 从 运行 Windows 2000 
Professional 的 计算 机 上 使 用 IIS 管理 单元 ,管理 运行 有 Internet 信息 服务 的 Windows 
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2000 Server 计算 机 。 
3. 可 编程 性 


Active Server Pages(ASP) 可 以 使 用 服务 器 端的 脚本 和 组 件 创建 动态 内 容 , 从 而 创 
建 与 浏览 器 无 关 的 动态 内 容 。 由 于 ASP 允许 开发 者 将 任何 脚本 语言 或 服务 器 组 件 蔡 入 
HTML 页 中 ,从 而 提供 了 一 种 CGI 和 ISAPI 的 简便 方法 。ASP 提供 对 所 有 HTTP 请 求 
和 应 答 流 的 访问 ,以 及 对 标准 数据 库 链 接 的 访问 ,同时 还 允许 自 定 义 适 合 各 种 不 同 浏览 
器 的 内 容 。 

ASP 新 增 和 改进 了 一 些 功 能 ,这 样 有 助 于 改善 性 能 以 及 简化 服务 器 端的 脚本 。 

IIS 5.0 为 Web 应 用 程序 提供 更 大 的 保护 以 及 更 强 的 可 靠 性 。 默 认 情 况 下 ,IIS 在 公 
共 或 “公用 ”进程 ( 即 与 核心 IIS 进程 隔离 的 进程 ) 中 运行 应 用 程序 。 而 且 还 可 以 隔离 执行 
关键 任务 的 应 用 程序 ,这 些 程序 应 该 在 核心 IIS 以 及 共用 进程 之 外 运行 。 

在 IIS 5.0 中 ,管理 员 和 应 用 程序 开发 者 可 以 向 现 有 的 ADSI 提供 者 添加 自 定义 对 
象 . 属 性 和 方法 ,从 而 进一步 增 大 了 管理 员 配 置 站 点 的 灵活 性 。 


4. 信息 发 布 


IIS 5.0 版 符合 HTTP 1.1 标准 ,包括 PUT 和 DELETE 等 功能 以 及 自 定 义 HTTP 
错误 消息 的 能 力 , 并 支持 自 定 义 的 HTTP 头 。 

由 于 支持 主机 头 , 解 决 了 多 个 域名 对 应 一 个 IP 地 址 的 情况 ,因此 可 以 用 一 个 IP 地址 
在 运行 Windows 2000 Server 的 单 台 计 算 机 上 维护 多 个 Web 站 点 。 这 对 于 Internet 服 
务 提 供 商 以 及 维护 多 个 站 点 的 Intranet 非常 有 用 。 

允许 远程 用 户 通过 HTTP 连接 创建 .移动 或 删除 服务 器 上 的 文件 ,文件 属性 .目录 和 
目录 属性 。 

可 以 使 用 SMTP 服务 以 及 NNTP 服务 设置 与 IIS 一 同 工 作 的 Intranet 邮件 和 新 闻 
服务 。 

可 以 将 Platform for Internet Content Selection (PICS) 分 级 应 用 于 内 容 仅 适 合 于 成 
人 的 站 点 。 

如 果 在 数据 传输 中 出 现 中 断 ,现在 可 以 恢复 “文件 传输 协议 ”文件 下 载 ,而 不 必 再 次 
下 载 整个 文件 。 

可 以 更 快 地 在 Web 服务 器 与 启用 了 压缩 的 客户 之 间 进 行 页 面 传输 。 压 缩 和 缓存 静 
态 文件 并 对 动态 生成 的 文件 按 需 进行 压缩 。 


5. 虚拟 服务 器 与 虚拟 目录 


可 以 在 一 台 服 务 器 上 安装 多 个 Web 网 站 ,使 用 时 就 好 像 这 些 网 站 分 别处 于 不 同 的 
计算 机 一 样 。 这 种 服务 器 称 为 虚拟 服务 器 。 

配置 虚拟 服务 器 的 方法 主要 有 3 种 。 

(1) IP 法 。 通 过 多 个 网 卡 或 者 一 个 网 卡 绑 定 多 个 IP 地 址 的 方法 实现 。 

(2) 端口 法 。 在 同一 个 IP 下 通过 分 配 不 同 的 端口 号 来 实现 ,IIS 中 的 远程 管理 就 是 
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这 样 实现 的 ,使 用 的 端口 范围 为 1024 一 65 535。 

(3) 主机 头 法 。 在 HTTP 1. 1 协议 版 本 的 基础 上 ,使 用 同一 个 IP 及 同一 个 端口 的 前 
提 下 ,通过 完全 域名 实现 虚拟 主机 ,是 最 实用 的 方法 。 注 意 ,需要 在 DNS 或 者 客户 端的 
host 的 文件 中 作 解 析 ,而 且 客 户 端的 浏览 器 要 支持 HTTP 1. 1 协议 。 

通过 Web 站 点 创建 向 导 , 使 用 主机 头 法 创建 虚拟 服务 器 ,如 图 5-5 所 示 。 


下 
IP 地 址 和 请 口 设置 
为 新 Web 站 点 指定 IP 地 址 和 端口 设置 。 


图 5-5 主机 头 法 创建 虚拟 服务 器 


也 可 以 通过 修改 Web 站 点 属性 来 添加 虚拟 服务 器 ,如 图 5-6 所 示 。 

在 创建 网 站 时 都 需要 定义 一 个 主 目 录 , 作 为 
存放 网 站 信息 文件 的 主要 场所 。 主 目录 下 的 实际 
子 目录 当然 也 可 以 存放 网 站 文件 ,但 也 可 以 定义 
一 些 不 相关 的 目录 ,使 其 好 像 是 在 主 目录 下 ,与 目 
录 下 的 子 目 录 一 样 存 放 网 站 文件 。 这 些 目录 叫做 
虚拟 目录 。 虚 拟 目录 可 以 在 本 地 的 其 他 分 区 上 ， 
还 可 以 在 网 络 中 的 其 他 服务 器 上 。 图 5-6 Web 站 点 属性 添加 虚拟 服务 器 

比如 微软 站 点 的 服务 器 在 美国 ,而 微软 中 国 
站 网 址 是 http://www. microsoft. com/china, 这 个 “china” 就 是 虚拟 目录 的 别名 ,其 实 这 
个 服务 器 的 物理 位 置 在 中 国 , 但 逻辑 上 它 作 为 微软 站 点 的 一 个 子 目 录 。 

创建 虚拟 目录 有 以 下 几 种 方法 。 

(1) 使 用 本 地 主机 的 目录 。 

(2) 使 用 另 一 主机 的 网 络 共 享 目录 ,需要 提供 一 个 有 效 的 用 户 名 及 密码 。 

(3) 重 定向 到 URL。 

Web 站 点 的 管理 依赖 于 站 点 属性 的 配置 ,这 些 配 置 是 在 属性 表单 中 进行 的 。IIS 管 
理 控 制 树 中 的 任何 节点 都 拥有 自己 的 属性 表单 ,如 计算 机 、 站 点 、 虚 拟 目录 、 文 件 等 ,可 以 
在 属性 表单 中 分 别 配置 其 属性 。 右 击 IIS 管理 控制 树 的 相应 节点 ,在 弹出 的 快捷 菜单 上 
选择 “属性 ?项 ,就 可 以 打开 属性 表单 。IIS 定义 一 套 属性 继承 机 制 , 即 低层 子 属性 自动 继 
承 高 层 父 属性 。 例 如 , 若 更 改 计算 机 属性 表单 使 计算 机 属性 与 当前 的 某 个 站 点 属性 有 所 
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冲突 ,那么 ,基于 属性 继承 的 原则 , 冲突 的 站 点 属性 被 动 继承 计算 机 属性 。 这 里 ,计算 机 
属性 表单 又 称 为 主 属 性 表单 。 

在 IIS 管理 控制 树 中 右 击 计算 机 图 标 , 在 弹出 的 快捷 菜单 中 选择 “属性 ”菜单 ,打开 计 
算 机 属性 对 话 框 ,其 中 有 两 个 选项 卡 。 在 “Internet 信息 服务 ”选项 卡 中 ,可 以 分 别 配置 
WWW 服务 和 FTP 服务 的 主 属性 ,计算机 的 总 带宽 截流 、 邮 件 发 送 方 式 、 系 统 权限 等 属 
性 。 对 任 一 属性 进行 更 改 后 , 单 击 “ 应 用 ”按钮 , 青 单 击 “ 确 定 ” 按 钮 使 之 生效 。 

Web 站 点 属性 表单 是 配置 Web 站 点 属性 的 主要 界面 ,在 IIS 管理 控制 树 中 右 击 
Web 站 点 节点 ,在 弹出 的 快捷 菜单 中 选择 “属性 "菜单 ,打开 Web 站 点 属性 对 话 框 。 默 认 
Web 站 点 的 属性 表单 由 10 个 选项 卡 组 成 ,可 以 分 别 对 Web 站 点 各 个 方面 的 属性 进行 配 
置 。 下 面 就 是 一 些 重要 属性 。 

(1) 主 目录 就 是 用 于 存储 站 点 相关 文件 的 主要 路 径 , 包 含 着 站 点 文件 的 其 他 目录 或 
是 直接 位 于 主 目录 之 下 ,或 是 以 虚拟 目录 的 形式 挂 在 主 目录 下 。 在 Web 站 点 属性 表单 
中 单 击 “ 主 目录 ”选项 卡 。 在 该 选项 卡 中 能 够 对 站 点 主 目录 ,文件 及 应 用 程序 权限 进行 
设置 。 

主 目录 的 分 配 有 3 种 方式 : 默认 情况 下 选中 “此 计算 机 上 的 目录 ”选项 ,输入 或 单 击 
“浏览 ?按钮 指定 本 地 主 目录 路 径 ; 选 择 * 另 一 计算 机 上 的 目录 ?选项 ,可 以 指定 远程 主 目 
录 , 具 体形 式 是 网 络 中 共享 文件 夹 的 UNC 路 径 "\\ 服 务 器 名 \ 共 享 名 ”; 另 一 种 指定 主 目 
录 的 方式 是 将 主 目录 重新 定向 到 一 个 URL, 也 就 是 Internet 中 的 某 个 其 他 网 站 或 其 之 下 
的 目录 ,应 选择 “ 重 定向 URL”, 并 在 “ 重 定向 到 ” 栏 输入 URL 地 址 。 例 如 ,输入 Http:// 
www. microsoft. com/china, 即 将 Http://www. microsoft. com 网 站 的 /china 目录 作为 
当前 Web 站 点 的 目录 。 

(2) 默认 主页 指 用 户 在 请 求 站 点 (例如 ,在 浏览 器 地 址 栏 中 输入 站 点 域名 ) 后 所 收 到 
的 默认 网 页 。 通 常 也 将 网 站 的 首页 称 为 主页 。 一 般 情况 下 默认 主页 存储 在 主 目录 下 ,如 
index. htm 或 default. asp 等 。 当 然 也 可 以 改 用 其 他 的 主页 作为 默认 主页 。 其 设置 对 话 
框 如 图 5-7 所 示 。 

可 以 添加 多 于 一 个 默认 主页 ,所 有 添加 的 文档 都 显示 在 列表 框 中 ,选择 一 个 文档 , 单 
击 上 下 箭头 调整 其 显示 的 优先 级 。 通 常会 首先 尝试 加 载 优先 级 最 高 的 主页 ,一旦 不 能 成 
功 下 载 ,将 降低 优先 级 继续 尝试 。 文 档 在 列表 中 的 位 置 越 靠 上 意味 着 其 优先 级 越 高 。 

“文档 "选项 卡 中 不 仅 能 够 指定 默认 主页 ,还 能 配置 文档 页 脚 。 文档 页 脚 ,又 称 
footer, 是 一 种 特殊 的 HTML 文件 ,用 于 使 网 站 中 全 部 的 网 页 上 都 出 现 相同 的 标记 ,通常 
使 用 文档 页 脚 将 公司 徽标 添加 到 其 网 站 中 全 部 网 页 的 下 部 ,以 增加 网 站 的 一 致 性 。 

为 了 使 用 文档 页 脚 ,首先 勾 选 “文档 ”选项 卡 中 的 “启用 文档 页 脚 " 复 选 框 ,然后 单 击 
“浏览 ”按钮 指定 页 脚 文 件 。 页 脚 文 件 通常 是 一 个 . htm 格式 的 文件 。 

(3) 通常 网 站 会 为 自己 的 用 户 提供 出 错 信息 。HTTP 协议 提供 了 一 系列 标准 的 错 
误 代 码 , 分 别 指示 出 错 原因 以 及 错误 对 象 . 可 能 的 处 理 方法 等 信息 。 例 如 “404 错误 ” 代 
表 客 户 机 请 求 的 文件 不 存在 “401. 2 错误 ”代表 客户 没有 相应 权限 访问 指定 资源 。 

也 可 以 重新 编辑 这 些 提示 信息 ,使 它们 对 客户 更 加 有 用 ,而 不 是 对 着 一 大 堆 术 语 束 
手 无 策 。 这 样 , 就 要 先 编辑 一 些 包含 针对 各 类 错误 进行 提示 的 信息 文件 ,然后 将 它们 分 
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图 5-7 默认 主页 设置 对 话 框 


别 映 射 到 相应 的 HTTP 错误 类 型 上 。 

自 定义 错误 信息 的 方法 如 下 。 

在 WWW 属性 表单 中 单 击 " 自 定义 错误 信息 ”选项 卡 ,列表 中 列 出 各 种 HTTP 错误 
类 型 。 

选择 需要 自 定义 的 错误 类 型 , 单 击 “ 编 辑 属性 ”按钮 。 在 “映射 错误 属性 "对话 框 中 配 
置 自 定义 错误 代码 ,如 图 5-8 所 示 。 


CNITIOTAhelpAiisNelpVeomm 
CNVIINNT\help\ViisHelp\Vcommon' 
CNITINTAhelpAii selp\ eonnon\401-S. ht 


: \WTNNT \help\iisHelp\conmon\403-1. htm 


et 


图 5-8 自 定义 错误 信息 对 话 框 
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(4) 在 “Web 站 点 ”选项 卡 中 部 的 “连接 "区域 中 ,可 以 设置 站 点 的 连接 属性 ,这 些 属 
性 通常 决定 了 站 点 的 访问 性 能 。 由 于 硬件 性 能 和 带宽 的 限制 ,一 个 Web 站 点 所 允许 的 
同时 访 间 用户 数量 是 有 限 的 ,过 多 的 同时 连接 数 往往 可 能 导致 种 种 问题 ,甚至 网 站 当 机 。 
所 以 ,对 于 访问 数量 大 的 站 点 而 言 ,应 限制 同时 连接 数 ( 默 认 情 况 下 是 不 限制 的 )。 单 击 
“限制 "按钮 指定 同时 连接 的 数量 即 可 。 基 于 同样 的 原因 ,还 应 限制 连接 超时 ,连接 超时 
是 指 一 个 连接 到 Web 站 点 上 的 客户 在 一 定 的 时 间 内 如 果 没 有 做 出 任何 响应 ,就 将 被 自 
动 断 开 连 接 。 例 如 默认 的 连接 超时 为 900 秒 ,这 意味 着 当 一 个 当前 连接 客户 连续 发 呆 
15 分 钟 后 将 被 自动 剔 出 系统 ( 即 断 开 连 接 ) ,这 样 能 有 效 地 保护 系统 的 资源 。 另 外 ,“ 启 用 
保持 HTTP 激活 " 复 选 框 通常 能 够 加 快 网 站 对 用 户 的 响应 速度 ,该 选项 允许 客户 保持 与 
服务 器 的 开放 连接 ,而 不 是 使 用 新 请 求 逐 个 重新 打开 客户 连接 。 

(5) 调整 Web 站 点 性 能 ,一 般 而 言 , 在 同样 硬件 配置 条 件 下 ,不 可 能 凭空 提高 系统 的 
性 能 ,所 以 ,性 能 的 调整 实质 上 就 是 系统 各 部 分 之 间 的 资源 分 配 问题 。 例 如 ,对 于 专用 的 
Web 服务 器 ,显然 应 该 尽量 地 将 全 部 性 能 潜力 都 分 配给 WWW 服务 。 而 对 于 个 别 还 需 
担当 其 他 任务 的 计算 机 而 言 , 则 要 在 各 种 任务 之 间 找 到 平衡 点 。 

选择 WWW 属性 对 话 框 中 的 “性 能 "选项 卡 ,其 上 部 的 性 能 调整 滑 块 可 以 调整 系统 描 
述 站 点 的 大 致 访问 量 (每 日 期 望 单 击 数 ), 这 一 设 定 不 具 强 制 性 , 仅 是 为 系统 对 资源 的 分 
配 做 出 建议 以 供 参考 。 为 了 限制 当前 站 点 占用 的 总 带宽 数量 ,可 以 进行 带宽 截流 设置 。 
选择 “启用 带宽 限制 " 复 选 框 ,在 “最 大 网 络 使 用 ” 栏 中 指定 当前 网 站 最 多 能 够 占用 的 带宽 
数 , 默 认为 1024KB/s, 达 到 这 一 限制 时 ,多 出 部 分 的 请 求 将 被 拒绝 。 上 述 限制 多 作用 于 
网 络 资源 ,对 于 计算 机 本 地 资源 ,如 CPU 占用 等 ,也 有 必要 加 以 限制 。 选 择 * 启 用 进程 限 
制 " 复 选 框 ,在 "最 大 CPU 使 用 程序 ” 栏 中 指定 当前 网 站 能 够 占用 的 最 大 CPU 使 用 率 , 默 
认为 10%。 这 一 限制 并 非 强制 性 的 ,也 就 是 说 ,即使 达到 最 高 CPU 占用 率 ,系统 也 并 不 
会 终止 当前 站 点 的 运行 ,而 只 是 适当 降低 其 CPU 占用 率 。 如 果 需 要 在 达到 最 大 限制 时 
强制 性 结束 网 站 应 用 程序 或 其 他 进程 , 则 需要 勾 选 “ 强 执行 限制 " 复 选 框 。 注 意 ,这 一 设 
置 有 可 能 带 来 系统 稳定 性 上 的 问题 。 

(6) 日 志 是 以 文件 形式 监视 网 站 使 用 情况 的 手段 。“Web 站 点 ?选项 卡 的 下 部 是 用 
于 配置 日 志 记录 的 区 域 , 选 择 “ 启 用 日 志 记录 ” 复 选 框 ,然后 在 “活动 日 志 类 型 "下 拉 列 表 
框 中 指定 日 志 类 型 ,各 种 日 志 类 型 的 内 在 差别 并 不 是 很 大 ,常用 的 日 志 类 型 有 W3C 扩展 
日 志文 件 格式 和 Microsoft IIS 日 志文 件 格式 。 

选 定 日 志文 件 类 型 后 , 单 击 “ 属 性 ”按钮 ,打开 “扩充 日 志 记 录 属 性 ”对 话 框 。“ 常 规 属 
性 ”选项 卡 提供 了 一 般 性 的 日 志文 件 设置 界面 。 可 以 在 “日 志文 件 目 录 ” 栏 中 更 改 日 志文 
件 存储 的 路 径 。 日 志 是 一 种 持续 性 的 记录 手段 , 随 着 时 间 的 推移 ,单个 日 志文 件 所 记录 
的 事件 越 来 越 多 ,其 文件 也 越 来 越 大 。 为 了 防止 日 志文 件 太 大 所 导致 的 存储 及 分 析 困 
难 ,应 该 在 日 志文 件 达到 一 定 大 小 时 新 建 一 个 文件 。 通 常 的 判断 方法 有 两 种 ,一 定时 间 
后 新 建文 件 和 达到 一 定 大 小 后 新 建文 件 。 对 于 前 者 ,只 需 选 “每 小 时 >”“ 每 天 ”“ 每 周 ? 或 
“每 月 " 即 可 在 指定 时 间 到 达 时 自动 生成 新 的 日 志文 件 , 新 文件 将 以 时 间 命 名 ,例如 ， 
yymmdd. log 或 mmdd. log。 然 而 当选 择 “ 当 文件 大 小 达到 ”并 指定 大 小 后 ,系统 就 可 以 在 
日 志文 件 达 到 指定 大 小 后 自动 生成 新 文件 。 
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注意 : 记录 过 多 的 不 必要 内 容 必 定 会 耗费 有 限 的 服务 器 资源 ,而 且 会 使 日 志文 件 变 
得 很 大 ,因此 ,应 确保 所 记录 的 事件 都 是 必要 的 。 

日 志 的 保存 方法 及 保存 内 容 如 前 所 述 , 但 是 这 里 记录 的 日 志文 件 如 何 才 能 变 成 对 于 
Web 管理 员 有 用 的 信息 呢 ? 直接 查看 日 志文 件 显 然 是 方法 之 一 ,但 要 理解 各 种 复杂 的 日 
志 格 式 , 并 从 中 得 到 有 用 信息 显然 不 是 人 力所能及 之 事 。 事实 上 ,需要 借助 于 其 他 工具 
完成 日 志文 件 的 分 析 工 作 ,例如 ,著名 的 Microsoft Site Server 就 是 一 种 流行 的 日 志 分 析 
工具 。 通 过 引入 、 分 析 日 志文 件 ,Site Server 最 终 给 出 一 个 便于 理解 的 分 析 报 告 ,报告 以 
图 形 ,图表 等 方式 直观 地 显示 出 运行 期 间 的 各 种 事件 。 大 多 数 的 日 志 分 析 软 件 还 能 够 设 
置 过 滤器 ,以 便 对 管理 员 感 兴趣 的 事件 进行 单独 分 析 。 

(7) 主 目录 选项 卡 还 允许 对 站 点 文件 和 应 用 程序 权限 进行 配置 。 对 于 文件 ,基本 的 
权限 有 读 取 和 写 入 ,可 分 别 勾 选 * 读 取 ” 和 “ 写 人 " 复 选 框 进行 指定 。 其 中 ,前 者 对 于 通常 
的 静态 网 页 站 点 是 必需 的 ,后 者 则 允许 客户 对 网 站 文件 进行 修改 或 添加 。 如 果 网 站 中 包 
含 脚 本 文件 , 则 还 应 指定 “脚本 资源 访问 "权限 。 此 外 ,还 有 一 种 特殊 的 权限 一 一 “目录 浏 
览 ”"。 一 旦 指定 目录 浏览 权限 ,即使 客户 没有 读 取 权限 ,也 能 够 查看 网 站 的 组 织 结构 ,看 
到 网 站 中 究 竞 有 哪些 文件 ,分 别 在 什么 位 置 。 所 以 ,指定 该 权限 往往 会 带 来 安全 性 上 的 
隐患 。 对 于 应 用 程序 而 言 ,权限 有 “ 纯 脚 本 ”以 及 “脚本 和 可 执行 程序 ”两 种 。 它 们 是 在 
“执行 许可 ”下 拉 列 表 框 中 进行 指定 的 。 其 中 后 一 种 权限 包含 前 一 种 。 所 谓 可 执行 程序 
与 脚本 程序 的 区 别 在 于 : 可 执行 程序 在 服务 器 端 执行 ,其 通常 的 后 级 为 . exe、. bin、. dll、 
.com、. dat 等 ;而 脚本 程序 是 先 下 载 到 客户 机 ,再 解释 执行 的 ,它们 采用 脚本 语言 编写 ,如 
Vb Script、JSP、Perl、.PHP 等 。 可 选择 的 运行 应 用 程序 的 保护 方式 有 三 种 : 与 Web 服务 
在 同一 进程 中 运行 ( 低 ) .与 其 他 应 用 程序 在 独立 的 共同 进程 中 运行 (中 ) ,或 者 在 与 其 他 
进程 不 同 的 独立 进程 中 运行 (高 ) 。 

(8) 在 通常 情况 下 ,网 站 是 允许 匿名 访问 的 , 即 无 须 输 入 账号 ,自动 使 用 匿名 访问 账 
号 并 继承 匿名 访问 权限 。 在 安装 IIS 时 ,系统 自动 生成 一 个 匿名 访问 用 户 账号 IUSR_ 
computername, 其 中 computername 是 IIS 所 在 服务 器 的 计算 机 名 。 所 有 IUSR _ 
computername 账号 能 够 访问 的 资源 ,就 是 匿名 用 户 的 授权 许可 范围 。 

一 旦 用 户 所 访问 的 资源 不 允许 匿名 访问 ,IIS 就 会 要 求 用 户 提 供 合 法 的 用 户 账号 及 
密码 ,这 就 是 授权 访问 。 授 权 访 问 要 求 用 户 拥有 合法 的 Windows 2000 账号 , 且 必 须 具 有 
相应 的 权限 。 

匿名 和 授权 访问 控制 是 在 站 点 WWW 属性 对 话 框 的 “目录 安全 性 ?选项 卡 中 进行 的 。 
默认 情况 下 ,IIS 对 任意 站 点 都 是 允许 匿名 访问 的 ,如 果 出 于 站 点 安全 性 考虑 需要 禁止 匿 
名 访问 时 ,按照 如 下 步 又 进行 配置 。 

@O 在 IIS 中 右 击 管理 控制 树 中 需要 禁止 匿名 访问 的 Web 站 点 图 标 ,选择 “属性 ” 
菜单 。 

@ 单 击 “ 目 录 安 全 性 ”选项 卡 。 

@ 在 “目录 安全 性 ?选项 卡 上 部 的 “匿名 访问 和 验证 控制 ? 栏 中 单 击 “编辑 按钮 。 

@ 在 “验证 方法 ”对 话 框 中 清除 “匿名 访问 " 复 选 框 。 

@@ 单 击 “ 确 定 ” 按 钮 返回 。 
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当然 ,对 于 公共 性 质 的 网 站 而 言 ,并 不 需要 禁止 匿名 访问 ,但 是 某 些 情况 下 还 需要 对 
匿名 访问 用 户 账 号 进行 配置 。 在 “验证 方法 ”对 话 框 中 色 选 “匿名 访问 " 复 选 框 ,然后 单 击 
右 侧 的 “编辑 ”按钮 。 

有 时 网 站 管理 员 可 能 并 不 满意 使 用 IUSR_computername 作为 匿名 访问 账号 ,出 于 
安全 考虑 或 管理 方便 ,往往 也 需要 指定 另 一 个 账号 作为 匿名 访问 账号 。 这 时 只 需要 单 击 
“用 户 名 ” 右 侧 的 “浏览 ”按钮 ,并 从 “选择 用 户 ” 对 话 框 中 指定 新 的 匿名 访问 账号 , 单 击 “ 确 
定 ” 按 钮 即 可 。 

(9) 为 IIS 生成 一 个 密 钥 对 时 ,在 任何 域 中 不 要 使 用 逗号 ,原因 是 逗号 被 解释 为 字段 
的 结尾 。 它 们 会 在 没有 警告 的 情况 下 产生 无 效 请 求 。 

如 果 拥 有 多 台 具 有 IIS 的 虚拟 服务 器 功能 的 Web 服务 器 在 安装 证 书 时 ,要 确定 具体 
服务 器 的 IP 地 址 ;否则 系统 创建 的 所 有 虚拟 服务 都 适用 同一 个 证 书 。 

如 果 启 动 SSL, 任 何 指向 支持 SSL 的 WWW 文件 夹 中 文档 的 URL 必须 使 用 
https://, 而 不 是 在 URL 中 的 http://。 使 用 在 URL 中 的 http:// 的 任何 链 路 不 支持 安 
全 文件 夹 。 

(10) 使 用 IIS 随意 向 INTERNET 发 布 信息 时 ,要 确保 网 络 安 全 性 。 

注意 : 

@ 为 系统 分 区 和 各 项 IIS 服务 程序 生成 分 开 的 区 ,这样 黑客 无 法 轻易 地 从 某 项 服务 
程序 的 某 个 漏洞 对 整个 机 器 访问 。 

@ 对 机 器 的 所 有 分 区 使 用 NTFS, 要 保证 用 户 权限 设置 正确 。 

@ 将 IIS 服务 器 放置 于 其 自己 的 域 中 ,并 与 账户 建立 一 种 单 向 委托 关系 。 如 果 黑 客 
能 得 到 某 个 有 效 账 户 的 信息 ,那个 账户 也 无 法 对 用 户 域 进行 访问 。 

@ 为 各 项 INTERNET 服务 使 用 单独 账户 (如 果 计 划 运 行 的 不 止 是 Web 服务 器 的 
话 ) ,这 使 得 跟踪 用 户 的 活动 相当 容易 。 

人 核查 ,然后 再 三 核查 为 指定 进行 匿名 访问 的 账户 分 配 的 权限 和 许可 权 。 需 要 给 用 
户 分 配 最 小 的 许可 权 , 通 常 只 是 读 许可 权 。 

@ 只 在 IIS 机 器 上 存储 非 机 密 信 息 , 并 将 信息 放置 在 防火 墙 内 。 这 样 ,如 果 信息 安 
全 性 遭 到 破坏 ,黑客 仍 必须 穿越 防火 墙 。 

@ 在 服务 器 上 使 用 WINDOWS NT SERVER 的 TCP/IP 过 滤 功 能 ,只 允许 连接 到 
需要 支持 IIS 服务 的 端口 。 比 如 ,如 果 只 想 运 行 Web 服务 器 只 须 启动 端口 80。 

加 如 果 用 户 利 用 非 匿名 账户 对 服务 器 进行 访问 ,务必 通过 加 密 密 码 进行 验证 。 


534 Web 服 务 的 安全 保障 措施 


1. 用 户 名 /密码 的 直接 信任 


该 安全 措施 实现 的 基础 是 基于 客户 和 服务 器 之 间 所 建立 的 SSL/TLS(secure socket 
layer/transport layer security) 安 全 连接 ,由 它 来 保证 消息 的 机 密 性 。 同 时 通过 SSL 在 被 
传输 的 消息 中 附加 消息 鉴别 码 MAC (message authenticationcode) 来 提供 消息 身份 验 
证 ,以 鉴别 消息 在 途中 是 否 被 修改 以 及 消息 创建 者 的 身份 是 否 被 冒 用 。 通 信 双 方 通过 交 
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互 握手 过 程 ,建立 SSL/TLS 安全 连接 ,然后 服务 器 把 User/Password 发 送 给 客户 。 由 客 
户 构造 SOAP 消息 ,其 中 包括 (UsernameToken) 元 素 ,该 元 素 包 含 了 客户 使 用 服务 的 用 
户 名 和 和 密码。 服务 器 收 到 SOAP 消息 后 ,抽取 (UsernameToken) 元 素 并 验证 用 户 名 和 和 密 
码 , 如 果 验 证 成 功 ,服务 器 处 理 消息 并 返回 结果 。 


2. 安全 令 牌 和 数字 签名 的 直接 信任 


该 安全 措施 的 实现 基础 是 建立 在 公 钥 密码 技术 之 上 的 安全 令 牌 和 数字 签名 。 该 措 
施 假 设 通信 双方 已 经 使 用 某 种 信任 机 制 (如 CA) 建立 了 Web 服务 器 对 安全 令 牌 的 信任 。 
实际 运行 中 ,服务 器 会 核实 并 评估 安全 令 牌 。 

消息 发 送 方 可 能 希望 让 接收 方 判别 消息 是 否 在 传输 过 程 中 被 更 改 ,同时 验证 发 送 方 
的 身份 。 发 送 方 应 该 注意 签署 消息 的 所 有 重要 元 素 ,但 在 传送 过 程 中 可 能 被 更 改 的 部 分 
不 应 被 签署 。 标 记 对 (SignedInfo) 用 来 描述 已 签署 的 消息 内 容 。 由 于 对 整个 消息 采用 公 
钥 算 法 加 密会 大 大 影响 Web 服务 的 性 能 ,因此 ,实际 中 常 使 用 一 个 摘要 来 加 快 处 理 速 
度 。 当 消息 被 接收 时 , Web 服务 的 验证 程序 会 验证 重新 计算 的 摘要 与 对 方 发 送 的 摘要 是 
否 匹 配 。 


3. 基于 文档 的 安全 性 


该 安全 措施 在 非 SSL/TLS 环境 下 允许 通过 发 送 方 和 接收 方 共享 的 通用 对 称 密 钥 ， 
或 消息 中 带 有 的 加 密 形式 的 密 钥 ,利用 XML 加 密 标记 ,对 消息 主体 块 、 报 头 块 .任意 子 结 
构 和 附件 的 组 合 进行 加 密 。 加 密 子 元 素 中 存在 着 解密 需要 的 所 有 信息 ,如 加 密 算法 的 名 
称 、 加 密 的 数据 类 型 和 加 密 密 钥 的 名 称 等 ,接收 方 可 以 根据 这 些 信息 识别 加 密 部 分 并 
解密 。 


4. 防火 墙 对 SOAP 消息 的 处 理 


由 于 SOAP 消息 是 封装 在 HTTP 数据 报 中 ,这 就 给 Web 服务 带 来 了 潜在 的 安全 隐 
患 。 可 以 利用 防火 墙 适当 过 滤 SOAP 请 求 消息 。 

1) 通过 对 HTTP 请 求 标 题字 段 的 扩展 标示 出 特定 的 SOAP 消息 

例如 ,在 下 面 给 出 的 SOAP 请 求 代 码 中 , 定 一 个 新 的 名 为 SOAPAction 的 HTTP 请 
求 标题 字段 ,使 得 防火 墙 能 够 从 普通 的 HTTP 请 求 中 识别 出 SOAP 消息 ,然后 进行 相应 
处 理 。 


POST/rpcrouter HITP/1.1 

Host: 127.0.0.1 

Content- Type:text/xml; haracter= "ufg— 8" 

Content- Length: 321 

SOAPACtion: "HITP:// WaW. Wrox. omV/TimeServioe/GetDateTime" 
< SOAP- ENV:Envelop> …< /SOAP- FNV:Ervelop> 


2) 防火 墙 利 用 SOAP 安全 性 扩展 标记 实施 更 强 的 安全 控制 
该 方式 中 ,发 送 方 男 添加 了 一 条 (Security) 报 头 块 ,把 防火 墙 列 为 SOAP 参与 者 ,并 
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在 路 由 报头 块 中 指定 路 由 信息 。 防 火 墙 通过 分 析 actor 属性 中 特定 指向 防火 墙 的 
《Security) 报 头 块 ,抽取 安全 令 牌 和 数字 签名 ,并 做 出 响应 。 如 果 签 名 有 效 , 并 且 授 权 消 
息 是 可 信任 的 , 则 该 消息 即 被 许可 ;否则 该 消息 就 会 遭 到 拒绝 。 


535 制定 Web 站 点 安全 策略 的 原则 
1. 设置 安全 Web 站 点 的 基本 原则 


为 了 确保 Internet 中 Web 站 点 的 安全 ,应 该 为 每 个 Web 站 点 设置 一 个 符合 实际 的 
安全 策略 ,这 些 安 全 策略 可 能 会 因为 Web 站 点 的 需求 不 同 而 有 所 不 同 。 但 制定 安全 策 
略 的 基本 原则 应 该 是 相同 的 , 即 在 满足 网 站 基本 安全 需要 的 基础 上 ,根据 网 站 提供 的 服 
务 和 服务 的 对 象 来 设置 安全 系统 ,评估 和 分 析 安 全 风险 。 在 制定 实际 安全 策略 之 前 ,应 
当 首先 分 析 网 站 可 能 遇 到 的 安全 威胁 ,再 根据 安全 威胁 列表 制定 切实 可 行 的 安全 策略 。 
下 面 是 一 个 安全 威胁 列表 的 例子 。 实 际 应 用 是 根据 现场 情况 添加 或 修改 。 

(1) Web 站 点 有 多 少 端口 对 外 部 开放 ? 

(2) 对 Web 站 点 的 可 能 威胁 来 自 网 络 内 部 吗 ? 

(3) 对 Web 站 点 的 可 能 威胁 来 自 网 络 外 部 吗 ? 

(4) 如 果 黑 客人 侵 Web 站 点 ,他 可 能 访问 站 点 中 哪些 数据 库 .哪些 目录 或 文件 ? 

(5) 系统 中 的 数据 被 破坏 是 因为 病毒 ,还 是 因为 受到 了 黑客 的 攻击 ? 

(6) 系统 受到 的 攻击 是 哪 种 类 型 ,例如 ,来自 网 络 内 外 的 非 授 权 的 访问 、IP 地 址 欺骗 
或 协议 欺骗 等 ? 

网 络 安全 威胁 分 析 的 结果 可 以 作为 系统 管理 员 设 计 网 络 安全 策略 的 基本 依据 ,如 果 
运用 得 当 , 可 以 增强 网 络 的 安全 性 。 


2. 利用 Web 服务 器 记录 客户 信息 


在 Internet 中 Web 服务 器 能 够 记录 它们 所 收 到 的 每 一 次 连接 和 访问 信息 ,这 个 记录 
通常 包括 发 出 连接 请 求 的 计算 机 的 IP 地 址 和 主机 名 。 如 果 用 户 在 Web 网 站 访问 期 间 填 
写 了 任何 表单 ,该 表单 下 所 有 变量 的 值 都 会 被 Web 服务 器 记录 下 来 ,例如 ,发 出 请 求 时 
的 状态 、 所 传送 数据 的 大 小 和 用 户 的 E-mail 地 址 等 都 会 被 Web 服务 器 记录 。 这 些 记录 
对 于 分 析 客 户 机 的 性 能 ,发 现 和 跟踪 黑客 袭击 是 有 用 的 。 


536 配置 安全 的 Web 服 务 器 


Web 服务 器 会 给 用 户 带 来 风险 和 损害 , Web 客户 机 也 会 给 Web 服务 器 带 来 风险 和 
损害 。 对 于 客户 可 能 给 服务 器 带 来 的 风险 ,应 注意 服务 器 的 安全 。 应 确保 客户 只 能 访问 
他 们 有 权 访 问 的 站 点 ,如 果 发 生 了 间 入 ,应 有 一 些 阻止 间 入 的 措施 。 为 了 加 强 Web 服务 
器 的 安全 ,应 该 采取 下 面 的 方法 。 

(1) 认真 配置 Web 服务 器 , 尽 可 能 使 用 它 的 安全 访问 特性 。 

(2) 如 果 在 Windows 2000 Server 系统 上 运行 Web 服务 器 ,应 该 检查 驱动 器 和 共享 
的 权限 ,将 所 有 系统 资源 设置 为 只 读 状 态 。 
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(3) 可 将 Web 服务 器 中 所 有 重要 文件 放 在 基本 系统 中 ,再 设 一 个 二 级 系统 专门 用 于 
存放 Web 网 站 对 外 服务 的 数据 和 文件 , 存 有 重要 数据 的 基本 系统 中 的 数据 不 向 Internet 
开放 。 

(4) 按 最 坏 的 安全 形势 配置 Web 服务 器 系统 。 

(5) 最 重要 的 是 检查 Web 服务 器 使 用 的 Applet 脚本 和 CGI 脚本 ,严格 限制 脚本 的 
执行 权限 和 执行 范围 ,防止 外 部 用 户 利用 脚本 执行 Web 服务 器 系统 的 内 部 指令 。 


537 及 时 消除 Web 服务 器 站 点 中 的 安全 漏洞 


无 论 是 基于 Windows 2000 Server 系统 的 Web 服务 器 ,还 是 基于 UNIX/Linux 系统 
的 Web 服务 器 ,都 存在 不 同 程序 的 安全 漏洞 。 因 此 ,系统 管理 员 应 该 及 时 消除 Web 服务 
器 站 点 中 的 安全 漏洞 ,使 安全 漏洞 对 系统 的 影响 降 到 最 低 。Web 服务 器 的 安全 漏洞 通常 
有 下 面 四 种 形式 。 

(1) 物理 漏洞 。 主 要 由 未 经 授权 的 人 员 在 控制 台 上 擅自 使 用 Web 服务 器 引起 ,由 于 
能 够 从 操作 系统 级 访问 系统 ,能 够 看 到 Web 服务 器 站 点 的 所 有 信息 ,并 对 Web 服务 器 进 
行 重新 配置 ,这 是 十 分 危险 的 。 例 如 ,一 台 放 置 在 比较 开放 的 公共 场所 的 Web 服务 器 ， 
就 可 能 会 遇 到 这 种 安全 问题 。 

(2) 软件 漏洞 。 主 要 是 由 系统 管理 员 配置 了 “错误 的 Applet 脚本 和 CGI 脚本 授权 ” 
引起 的 ,一 旦 外 来 的 脚本 程序 获得 了 系统 程序 执行 的 能 力 , 它 就 可 以 控制 系统 .改变 网 络 
服务 .对 系统 进行 修改 和 破坏 。 系 统管 理 员 一 定 不 要 轻易 相信 脚本 和 Applet 程序 , 尽 可 
能 不 开放 此 项 功能 ,如 果 一 定 要 开放 ,请 确保 能 够 掌握 它们 的 功能 。 

(3) 系统 不 兼容 漏洞 。 主 要 是 由 系统 软 硬 件 集成 不 当 引起 的 。 原 本 安全 运转 的 系统 
因为 增加 了 一 个 新 的 硬件 或 新 的 软件 时 就 可 能 会 出 现 安 全 问题 。 这 类 问题 很 难 被 发 现 ， 
往往 是 在 系统 受到 攻击 之 后 ,系统 管理 员 才 会 意识 到 是 新 装 的 软 硬 件 惹 的 祸 。 因 此 ,在 
重要 系统 安全 新 的 硬件 和 软件 之 前 ,都 必须 先进 行 必要 的 测试 。 

(4) 没有 制定 必要 的 安全 策略 。 如 前 所 述 , 制 定 一 个 切实 可 行 的 安全 策略 是 系统 安 
全 的 根本 保证 。 例 如 , 某 个 Web 服务 器 系统 采用 了 十 分 可 靠 的 密码 安全 认证 体制 ,由 于 
没有 安全 策略 限制 用 户 使 用 弱 密 码 进 行 认证 ,用 户 为 了 方便 记忆 简单 地 使 用 了 自己 的 名 
字 或 出 生日 期 作为 密码 ,那么 系统 的 密码 安全 认证 体制 再 完善 也 没有 用 。 


538 严密 监控 进出 Web 服 务 器 站 点 的 数据 流 


Internet 上 的 Web 服务 器 站 点 是 任何 人 都 可 以 通过 浏览 器 访问 的 , 它 也 是 安全 状况 
最 难保 证 的 系统 。 为 了 追踪 闻 和 系统 的 黑客 ,需要 严密 监控 进出 Web 服务 器 站 点 的 数 
据 流 ,可 以 在 Web 服务 器 上 安装 Web 服务 器 统计 软件 监控 进出 Web 服务 器 站 点 的 数据 
流 。 此 类 工具 软件 能 够 列 出 网 站 被 访问 次 数 、 站 点 上 来 往 最 频繁 的 用 户 以 及 站 点 的 运行 
状态 。 一 个 Web 服务 器 站 点 应 该 被 严密 监控 的 项 目 有 下 面 几 种 。 


1. 监控 Web 服务 器 站 点 访问 请 求 
Web 站 点 是 一 种 开放 系统 ,在 Internet 上 任何 人 都 可 以 自由 访问 ,访问 者 要 访问 某 
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个 Web 站 点 并 无 特别 的 理由 ,他 可 能 是 被 丰富 多 彩 的 画面 吸引 ,也 可 能 仅仅 是 路 过 进来 
看 看 。 在 Internet 上 每 个 访问 Web 站 点 的 人 都 希望 自己 能 够 尽快 进入 Web 站 点 。 一 旦 
Web 站 点 被 挂 在 Internet 上 ,就 会 有 用 户 来 访问 和 使 用 站 点 提供 的 各 种 服务 。 因 此 , 通 
过 监控 可 以 获得 很 多 有 用 的 信息 ,有 助 于 对 Web 服务 器 站 点 的 安全 管理 。 监 控 Web 服 
务 器 站 点 访问 请 求 主要 包括 以 下 几 个 方面 。 

(1) Web 服务 器 站 点 在 正常 情况 下 ,每 日 被 访问 的 次 数 是 多 少 ? 

(2) Web 服务 器 站 点 被 访问 的 次 数 突然 大 幅度 增加 了 吗 ? 

(3) Web 服务 器 站 点 在 正常 情况 下 ,每 日 访问 用 户 都 是 从 哪里 连接 的 ? 

(4) Web 服务 器 站 点 在 正常 情况 下 ,每 日 何 时 最 忙 ? 每 周 哪 天 最 忙 ? 

(5) Web 服务 器 站 点 上 哪些 栏目 的 信息 被 经 常 访问 ? 哪些 网 页 最 受 欢迎 ? 每 个 目 
录 下 有 多 少 网 页 被 访问 ? 

(6) Web 服务 器 站 点 上 每 个 目录 下 每 次 有 多 少 用 户 访 问 ? 访问 Web 服务 器 站 点 的 
是 哪些 类 型 的 浏览 器 ? 与 Web 服务 器 站 点 进行 交互 的 操作 系统 是 哪 种 类 型 ? 

(7) 用 户 更 愿意 选择 哪 种 提交 方式 与 Web 服务 器 站 点 进行 交互 ? 

以 上 信息 对 保证 Web 服务 器 站 点 的 安全 设置 非常 有 用 ,网 络 管理 员 可 以 根据 自己 
的 需要 适当 地 取舍 。 在 选择 监控 软件 时 ,应 确保 其 与 市 场 上 流行 的 Web 服务 器 兼容 。 


2. 统计 Web 服务 器 站 点 访问 次 数 


如 果 Web 服务 器 站 点 管理 员 想 了 解 Internet 上 有 多 少 人 知道 Web 站 点 ,来 访 者 到 
底 关心 哪些 信息 ,实时 统计 Web 服务 器 站 点 访问 次 数 就 十 分 重要 。 这 个 指标 不 但 可 以 
用 于 度量 Web 站 点 的 成 功 度 和 知名 度 , 而 且 也 是 Web 服务 器 站 点 安全 设置 的 重要 参 
考 值 。 

1) 确定 Web 服务 器 站 点 的 访问 次 数 

Web 服务 器 站 点 记录 的 访问 次 数 是 一 个 原始 数字 , 它 仅 仅 描述 了 Web 服务 器 站 点 
上 文件 下 载 的 平均 数目 。 例 如 , 当 一 个 用 户 在 Web 服务 器 站 点 上 开始 详细 阅读 信息 时 ， 
一 次 简单 的 会 话 连接 就 会 形成 好 几 次 访问 记录 ,因此 ,访问 次 数 将 远 远 高 于 站 点 访问 者 
的 数目 。 

2) 确定 Web 服务 器 站 点 的 访问 者 数目 

Web 服务 器 站 点 管理 员 可 以 根据 得 到 的 站 点 的 访问 次 数 估 算 站 点 的 访问 者 数目 。 
如 果 将 访问 次 数 与 主页 文件 联系 在 一 起 时 ,这 个 数字 就 接近 于 某 个 时 期 内 访问 者 的 数 
目 , 但 也 不 是 百分之百 的 准确 。 管 理 员 必须 明白 站 点 的 “访问 次 数 ? 的 本 质 ,一 个 月 有 几 
十 万 次 的 访问 记录 并 不 意味 着 网 站 的 成 功 。 如 果 每 个 月 访问 次 数 都 稳步 增加 , 则 说 明 这 
个 Web 服务 器 站 点 的 成 功 度 和 知名 度 有 所 提高 。 


54 电子 商务 系统 安全 策略 


随 着 互联 网 的 发 展 , 计 算 机 网 络 在 经 济 和 生活 的 各 个 领域 迅速 普及 ,整个 社会 对 网 
络 的 依赖 程度 越 来 越 大 ,众多 企业 以 及 其 他 组 织 或 机 构 都 在 组 建 和 发 展 自己 的 网 络 并 连 
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接 到 Internet 上 ,以 充分 共享 和 利用 各 种 信息 和 资源 。 伴 随 着 网 络 的 发 展 ,也 产生 了 各 
种 各 样 的 问题 ,其 中 安全 问题 尤为 突出 ,网 络 安 全 的 重要 性 也 越 来 越 受 到 关注 。 一 般 来 
讲 , 计 算 机 网 络 安全 防御 技术 可 以 分 为 以 下 几 种 : (1) 物 理 安全 技术 。(2) 运 行 安 全 技术 。 
保障 运行 安全 的 主要 技术 和 机 制 有 防火 墙 及 身份 认证 技术 、 网 络 安全 检测 与 监控 等 。 
(3) 信 息 保护 技术 。 保 障 信息 安全 涉及 加 密 技术 .访问 控 制 与 认证 技术 、 数 字 签名 、 数 据 
完整 性 技术 等 。 其 中 ,加 密 技 术 是 核心 。 

对 于 企业 网 络 ,一 般 采 用 防火 墙 作为 安全 的 第 一 道 防线 ,而 随 着 攻击 者 知识 的 日 趋 
成 熟 以 及 攻击 工具 与 手法 的 日 趋 复 杂 多 样 ,单纯 的 防火 墙 策略 已 经 无 法 满足 网 络 安全 的 
需要 。 同 时 ,企业 内 部 网 络 同样 也 存在 很 大 的 安全 威胁 。 统 计 结果 显示 企业 网 络 遭 受 更 
多 的 是 来 自 内 部 的 攻击 ,外 部 攻击 只 占 约 39%% 。 

企业 信息 化 应 用 的 信息 安全 隐患 主要 包括 : 

(1) 身份 认证 。 企 业 网 站 无 法 验证 登录 到 网 站 上 的 客户 是 否 是 经 过 认证 的 合法 用 
户 ,登录 到 企业 网 站 的 客户 或 企业 员工 也 无 法 知道 所 登录 的 网 站 是 否 可 信 ,非法 用 户 可 
以 借 机 进行 破坏 。“* 用 户 名 十 密码 ”的 传统 认证 方式 安全 性 较 弱 。 

(2) 信息 的 机 密 性 。 在 企业 内 部 和 外 部 网 络 上 传输 的 企业 敏感 信息 和 数据 有 可 能 在 
传输 过 程 中 被 非法 用 户 截取 。 

(3) 信息 的 完整 性 。 敏 感 机 密 的 信息 和 数据 在 传输 过 程 中 有 可 能 被 恶意 算 改 。 

(4) 信息 的 不 可 抵赖 性 。 企 业 的 财务 报表 、 客 户 购 货 信息 、 购 销 合同 、 生 产 数据 等 电 
子 文件 和 数据 信息 一 旦 被 一 方 所 否认 , 另 一 方 则 没有 已 签名 的 记录 来 作为 仲裁 的 依据 。 


541 电子 商务 概述 


目前 ,电子 商务 已 成 为 世界 范围 内 新 的 研究 热点 。 但 是 电子 商务 的 安全 人 性 是 实施 中 
的 关键 问题 ,也 是 技术 难点 。 本 章 主要 介绍 电子 商务 的 概念 ,电子 商务 的 安全 性 要 求 , 并 
通过 电子 支付 系统 .电子 现金 系统 详尽 介绍 电子 商务 的 安全 技术 ,最 后 介绍 电子 现金 协 
议 的 实现 方法 及 电子 商务 业务 系统 应 用 系统 实例 。 


1. 电子 商务 的 概念 


Internet 在 商务 领域 引起 一 场 巨大 的 革命 ,电子 商务 已 成 为 人 们 关注 的 焦点 之 一 。 
电子 商务 的 早期 形式 是 EDI( 电 子 数据 交换 )。EDI 的 主旨 是 商务 票据 传送 的 电子 化 ,由 
于 使 用 者 少 、 应 用 范围 小 ,没有 人 称 其 为 电子 商务 。 从 20 世纪 80 年 代 初 开始 ,世界 范围 
内 使 用 Internet 的 人 数 迅速 增长 ,为 电子 商务 的 发 展 和 广泛 应 用 提供 了 良好 的 基础 , 电 
子 商务 一 词 才 被 提出 ,而 且 受 到 学 术 界 、 商 业界 和 产业 界 的 热切 关注 ,各 国政 府 也 给 予 电 
子 商务 发 展 以 极 大 的 关注 和 支持 。 

从 广义 上 讲 , 电 子 商 务 是 指 通过 电子 数据 交换 来 完成 某 种 与 商务 或 服务 有 关 的 工 
作 , 它 可 以 是 各 种 形式 、 各 种 内 容 、 各 种 目的 、 各 种 风格 、 各 种 程度 的 电子 数据 的 交换 ,其 
基础 是 以 电子 化 的 形式 来 处 理 和 传输 商务 数据 ,包括 文本 、 声 音 、 视 频 、 图 像 等 数据 类 型 。 
电子 商务 有 许多 不 同 的 内 容 , 例 如 ,货物 贸易 和 相关 服务 、 提 供 数字 化 的 商务 材料 、 实 现 
电子 转账 、 完 成 电子 化 的 股票 交易 处 理 、 提 供电 子 提货 单 证 ,进行 商业 买卖 活动 .不 同 的 
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工程 设计 人 员 协 同 完成 工程 设计 、 联 机 科技 情报 查询 服务 等 。 

直观 地 说 ,电子 商务 就 是 将 传统 商务 移植 到 信息 网 上 。 与 传统 商务 相似 ,电子 商务 
为 销售 者 和 消费 者 建立 交易 关系 ,使 他 们 能 商谈 交易 的 商品 和 交易 的 条 件 ,如 提供 何 种 
商品 或 服务 .适应 的 法 律 和 规范 价格、 付款 方式 .商品 提供 方式 和 保证 等 。 

实际 上 ,电子 商务 主要 包含 三 个 要 素 : 信息 .电子 数据 交换 和 电子 资金 转账 。 其 系统 
构成 如 图 5-9 所 示 。 


电子 商务 业务 系统 
电子 商务 支付 系统 


安全 应 用 协议 
X509 .SET.SSL.PGP.S/MIME 


CA 体系 ,数字 签字 


基本 加 密 算法 
单 钥 加 密 、 公 钥 加 密 、 安 全 杂凑 函数 


5-9 电子 商务 系统 组 成 


电子 商务 的 交易 过 程 可 以 描述 为 三 个 阶段 。 

(1) 交易 前 。 主 要 是 指 交易 各 方 在 交易 活动 前 的 准备 活动 ,包括 网 络 咨询 .广告 . 商 
务 洽谈 等 。 

(2) 交易 中 。 包 括 合同 的 签订 ,涉及 企业 间 、 公 证 机 关 、 银 行 、 税 务 、 海 关 等 方面 的 电 
子 凭证 交换 , 即 电子 数据 交换 和 电子 支付 。 

(3) 交易 后 。 包 括 商品 的 支付 电子 支票 等 。 

与 传统 的 商业 系统 相 比 ,电子 商务 具有 交易 花费 成 本 低 .资金 更 安全 ,资金 结算 速度 
快 ,节省 人 力 物 力 方便 等 特点 。 由 于 在 电子 商务 操作 过 程 中 涉及 金钱 交易 等 信息 ,因此 
不 允许 在 传送 过 程 中 有 第 三 者 的 窃听 、 自 改 、 伪 造 , 也 不 允许 对 其 进行 非法 访问 。 要 使 电 
子 商务 发 挥 其 巨大 的 潜力 ,应 对 所 有 网 络 用 户 都 是 开放 的 , 且 至 少 应 像 传统 商务 那样 方 
便 、 可 靠 和 安全 。 


2. 网 络 环境 


网 络 环境 是 开展 电子 商务 的 基础 。 信 息 的 传递 .网 上 资金 账户 的 认证 、 资 金 的 划 转 
等 都 需要 数据 交换 的 网 络 环 境 。 

现在 的 电子 商务 发 展 是 以 Internet 技术 为 基础 的 ,这 样 可 以 节约 很 多 成 本 。 所 以 ， 
企业 所 在 地 区 Internet 的 发 展 情况 会 直接 影响 企业 开展 电子 商务 的 业务 。 利 用 Internet 
开展 电子 商务 ,对 网 络 的 要 求 很 高 .不止 是 Internet 环境 存在 就 可 以 ,其 稳定 性 ,带宽 以 
及 接 入 费用 都 对 电子 商务 的 开展 有 举足轻重 的 作用 。 
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3. 支付 系统 


利用 现在 的 网 络 获取 商务 信息 ,但 在 进行 商品 交易 时 还 不 得 不 借助 于 传统 的 银行 业 
务 系统 , 即 支 付 手 段 不 能 在 网 上 进行 时 ,无 疑 会 使 交易 的 支付 成 为 电子 商务 进一步 发 展 
的 "瓶颈 ”。 网 上 银行 以 及 网 上 支付 系统 的 建立 与 完善 也 是 电子 商务 发 展 的 重点 条 件 

虽然 网 上 银行 与 支付 系统 的 发 展 不 是 目前 各 个 商业 企业 所 能 决定 的 事情 ,但 随 着 电 
子 商 务 的 进一步 发 展 和 金融 环境 的 逐渐 优化 与 完善 ,企业 在 时 机 成 熟 时 和 网 上 银行 建立 
合作 关系 可 以 解决 商务 中 的 资金 流 的 问题 。 


4. 安全 认证 系统 


传统 的 商务 活动 是 以 现 有 的 信用 体系 为 依托 ,比如 票据 、 现 金 ` 对 方 企 业 的 实力 及 担 
保 等 。 但 是 ,电子 商务 的 主要 形式 之 一 就 是 网 上 交易 ,包括 合同 的 处 理 以 及 资金 的 划 转 
等 ,所 以 在 网 上 怎么 确定 信用 、 如 何 保 护 商业 秘密 、 如 何 保证 网 上 账户 的 数据 传送 的 安 
全 ,对 发 展 电子 商务 是 一 个 很 严重 的 问题 。 


542 电子 商务 安全 的 主要 问题 


电子 商务 实质 是 电子 方式 的 贸易 活动 , 它 利用 简单 .快捷 、 低 成 本 的 电子 通信 方式 ， 
使 买卖 双方 进行 各 种 商贸 活动 的 新 型 贸易 形式 。 它 不 仅 改变 了 企业 本 身 的 生产 、 经 营 、 
管理 活动 ,而且 将 导致 人 类 经 济 、 社 会 和 文化 的 一 次 新 的 革命 。 

电子 商务 安全 的 主要 问题 有 以 下 几 个 方面 。 


1. 算 改 


电子 的 交易 信息 在 网 络 上 传输 的 过 程 中 ,可 能 被 他 人 非法 地 修改 、 删 除 或 重 放 ( 指 只 
能 使 用 一 次 的 信息 被 多 次 使 用 ) ,从 而 使 信息 失去 了 真实 性 和 完整 性 。 


2. 信息 破坏 


包括 因 网 络 硬件 和 软件 的 问题 而 导致 信息 传递 的 丢失 与 廖 误 ,以 及 一 些 恶意 程序 的 
破坏 而 导致 电子 商务 信息 遭 到 破坏 。 


3. 身份 识别 


如 果 不 进行 身份 识别 ,第 三 方 就 有 可 能 假冒 交易 一 方 的 身份 ,来 破坏 交易 、 败 坏 被 假 
冒 一 方 的 声誉 或 资 穷 被 假冒 一 方 的 交易 成 果 等 。 而 且 不 进行 身份 识别 ,交易 的 一 方 可 以 
不 为 自己 的 行为 负责 任 , 进 行 否认 ,相互 欺诈 。 


4. 信息 泄密 


主要 包括 两 个 方面 , 即 交 易 双 方 进行 交易 的 内 容 被 第 三 方 窃取 或 交易 一 方 提供 给 另 
一 方 使 用 的 文件 被 第 三 方 非法 使 用 。 
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543 电子 商务 的 安全 技术 


由 于 电子 商务 涉及 金融 \ 企 业 商 家 等 各 个 方面 的 利益 ,所 以 ,必须 采用 行 之 有 效 的 手 
段 来 保证 电子 商务 系统 的 安全 运行 。 安 全 性 技术 是 保证 电子 商务 健康 有 序 发 展 的 关键 
因素 ,也 是 目前 大 家 十 分 关注 的 问题 。 虽 然 Internet 的 开放 式 的 信息 交换 使 之 在 安全 方 
面 存 在 脆弱 性 ,但 现在 几乎 网 络 的 各 个 层次 都 制定 了 安全 协议 和 具备 了 相应 的 安全 技 
术 , 以 保证 电子 商务 的 安全 性 。 电 子 商 务 的 安全 性 策略 可 分 为 两 大 部 分 ,一 部 分 是 计算 
机 网 络 安全 ; 另 一 部 分 是 商务 交易 安全 。 电 子 商务 中 的 安全 性 技术 主要 有 以 下 几 种 。 


1. 信息 保密 技术 


信息 保密 就 是 使 敏感 信息 不 被 非 授权 的 人 知道 。 电 子 商 务 中 的 信息 保密 ,主要 是 指 
发 送 方 必 须 使 信息 在 通过 网 络 向 接收 方 传递 的 过 程 中 ,保持 一 种 只 有 该 合法 接收 方才 能 
理解 的 形式 。 就 是 说 ,发 送 方 必须 在 发 送 前 对 信息 进行 加 密 。 加 密 就 是 对 信息 进行 编码 
使 其 看 起 来 毫 无 意义 ,同时 仍 保持 其 可 恢复 的 形式 。 这 种 对 信息 行 编码 的 方法 称 为 加 密 
算法 。 加 密 算 法 将 需要 保护 的 原始 信息 称 为 平 文 或 明文 ,用 一 种 称 为 密 钥 的 数值 进行 编 
码 , 生 成 的 结果 称 为 密 文 。 尽 管 他 人 完全 可 能 知道 所 使 用 的 加 密 算 法 ,但 要 对 密 文 进行 
解密 就 必须 有 创建 明文 的 正确 密 钥 。 

由 于 加 密 算法 有 太 多 可 能 的 密 钥 ,使 得 在 设计 一 个 加 密 算法 时 ,要 对 这 些 可 能 的 密 
钥 一 个 个 地 尝试 找 出 哪 一 个 是 正确 的 密 钥 变 得 完全 不 可 行 ,因而 加 密 的 信息 得 到 了 保 
护 。 一 般 的 加 密 模型 如 图 5-10 所 示 。 


发 送 端 截取 者 接收 端 


Encode | _。 | _。 | Decode 

加 密 算法 解密 算法 

加 密 密 钥 kd 密 文 Y=Eke(x) ”解密 密 钥 kd 
图 5-10 ”加密 模型 示意 图 


~ 


明 _ 
文 


关 交 到 


在 发 送 端 ,发 送 者 用 加 密 密 钥 进行 加 密 。 而 在 接收 端 ,接收 者 则 用 相应 的 解密 密 钥 
进行 解密 得 到 明文 。 迄 今 为 止 ,人 们 已 提出 了 许多 加 密 算 法 ,但 通常 使 用 的 只 有 DES、 
PC4、IDBA、RSA 等 少数 几 种 ,并 将 这 些 算 法 归纳 为 两 类 基本 算法 , 即 对 称 密 钥 加 密 算 法 
和 非 对 称 密 钥 加 密 算法 。 

对 称 密 钥 加 密 算法 ,是 因为 在 使 用 这 种 算法 的 系统 中 对 信息 加 密 和 解密 使 用 同一 密 
钥 。 由 于 加 、 解 密使 用 相同 的 密 钥 , 所 以 ,该 密 钥 必须 处 于 保密 状况 ,因此 ,其 可 称 为 秘密 
密 钥 。 该 算法 又 可 称 为 秘密 密 钥 加 密 算法 。 由 于 为 保密 起 见 秘密 密 钥 经 常 进行 改变 ,又 
由 于 它 主要 用 于 文件 会 话 中 ,所 以 又 称 它 为 会 话 密 钥 。 

而 非 对 称 密 钥 系统 与 对 称 加 密 算法 不 同 , 它 需要 使 用 一 对 密 钥 一 一 公开 密 钥 和 私有 
密 钥 。 如 对 数据 加 密 用 的 是 公开 密 钥 , 则 需 用 对 应 的 私有 密 钥 进行 解密 。 如 用 私有 密 钥 
对 数据 进行 加 密 , 则 只 有 用 对 应 的 公开 密 钥 才能 解密 。 因 为 加 密 和 解密 使 用 的 是 两 个 不 
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同 的 密 钥 ,所 以 ,这 种 算法 称 为 非 对 称 密 钥 加 密 算法 。 公 开 密 钥 和 私有 密 钥 成 对 产生 、 成 
对 使 用 ,同时 非 对 称 加 密 算法 保证 了 从 公开 密 钥 不 可 能 推导 出 私有 密 钥 。 

对 称 密 钥 加 密 算法 计算 速度 快 , 性 能 较 好 ,被 广泛 应 用 于 对 大 量 数据 的 加 密 , 如 对 文 
件 的 加 密 。 而 非 对 称 密 钥 加 密 算法 计算 机 速度 较 慢 ,但 在 系统 保密 性 能 上 要 优 于 对 称 加 
密 算法 。 一 般 在 实际 使 用 中 是 将 两 种 算法 结合 使 用 ,从 而 产生 了 数字 信封 技术 。 发 送 方 
使 用 对 称 加 密 算法 和 秘密 密 钥 加 密 数据 文件 ,生成 文件 密 文 , 使 用 非 对 称 加 密 算法 和 接 
收 方 的 公开 密 钥 加 密 发 送 方 的 秘密 密 钥 ,生成 数字 信封 。 发 送 方 将 文件 密 文 和 数字 信封 
同时 发 送 给 接收 方 。 接 收 方 则 首先 使 用 自己 的 私有 密 钥 解 密 数字 信封 ,得 到 发 送 方 的 秘 
密 密 钥 ,再 使 用 秘密 密 钥 解密 文件 密 文 ,得 到 文件 明文 。 

常用 的 属于 对 称 加 密 算法 的 有 DES .RCR .IDEA 等 ,其 中 DES 使 用 得 最 为 普遍 ,已 
被 ISO 采用 作为 数据 加 密 标 准 。DES 是 使 用 56 位 长 的 密 钥 进行 加 解密 的 。 在 非 对 称 加 
密 算 法 中 常用 的 有 RSA, 已 被 ISO/TC 的 数据 加 密 技术 分 委员 会 SC20 推荐 为 非 对 称 密 
钥 数 据 加 密 标 准 , 所 使 用 的 密 钥 长 度 一 般 为 769 一 1024 位 。DES 和 RSA 数据 加 密 技 术 
已 被 广泛 应 用 于 电子 商务 交易 系统 中 ,使 得 敏感 信息 在 网 上 传送 的 保密 性 得 到 了 很 大 的 


提高 。 
2. 完整 性 控制 技术 


数据 加 密 技 术 能 使 敏感 信息 在 网 上 传输 过 程 中 处 于 保密 状态 ,不 被 非法 窃取 。 但 如 
果 信 息 密 文 在 传输 过 程 中 被 非法 算 改 ,那么 用 户 在 正确 解密 后 得 到 的 却 是 错误 的 明文 信 
息 。 完 整 性 控制 技术 就 是 要 使 得 接收 方 所 收 到 的 信息 与 发 送 方 所 发 送 的 信息 保持 一 致 。 
完整 性 控制 的 核心 是 完整 性 验证 ,这 就 要 求 首先 必须 采取 某 种 措施 ,使 得 用 户 能 够 验证 
网 上 传送 来 的 信息 是 否 完整 , 即 验 证 所 收 到 的 信息 是 否 与 发 送 方 所 发 送 的 信息 保持 一 
致 , 若 发 现 信息 完整 性 被 破坏 就 可 要 求 发 送 方 重新 发 送 。 通 常 所 采取 的 完整 性 验证 技术 
有 两 种 ,元 余 密 文 和 设置 检测 向 量 。 

宛 余 密 文 就 是 使 用 某 种 加 密 算 法 对 报 文 进行 加 密 计 算 而 得 到 的 与 报 文 唯一 对 应 的 
数值 。 该 加 密 算法 必须 具有 很 好 的 单 向 性 和 置 乱 性 。 单 向 性 就 是 由 宛 余 密 文 来 构造 原 
报 文 是 不 可 行 的 ; 置 乱 性 就 是 该 加 密 算法 必须 对 原 报 文 的 极 小 变化 非常 敏感 ,一 旦 有 微 
小 变化 ,相应 的 宛 余 密 文 也 会 "面目全非 ?。 发 送 方 将 报 文 密 文 和 宛 余 密 文 封 装 在 一 起 发 
送 。 在 传输 过 程 中 由 于 黑客 不 能 对 报 文 解密 ,所 以 ,也 就 无 法 既 修改 报 文 数据 又 产生 新 
的 宛 余 密 文 。 这 样 ,用 户 在 收 到 密 文 信息 后 ,首先 解密 报 文 密 文 ,再 重新 产生 宛 余 密 文 ， 
并 将 其 与 发 送 来 的 宛 余 密 文 进行 比较 。 若 不 相等 , 则 说 明 接收 方 所 收 到 的 报 文 与 发 送 方 
所 发 出 的 报 文 内 容 不 一 致 , 报 文 的 完整 性 受到 破坏 : 若 相等 , 则 说 明报 文 在 网 络 传输 过 程 
中 保持 了 完整 性 。 

设置 检测 向 量 , 是 指 对 报 文 信息 名 字段 (或 域 ) 按 一 定 的 算法 进行 计算 操作 ,得 到 一 
个 约束 值 , 称 为 该 报 文 信息 的 完整 性 检测 向 量 (integrated check vector,ICV) ,然后 将 它 
与 报 文 信息 封装 在 一 起 进行 加 密 。 在 传输 过 程 中 ,由 于 黑客 不 能 对 报 文 解密 ,所 以 也 就 
不 能 既 修改 报 文 数 据 又 计算 新 的 ICV。 这 样 ,接收 方 收 到 报 文 后 解密 并 计算 ICV 将 其 与 
报 文中 的 ICV 字段 进行 比较 。 若 不 等 ,说 明报 文 信息 的 完整 性 受到 破坏 。 只 有 在 相等 的 
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情况 下 , 才 确 认 报 文 有 效 。 

上 述 两 种 完整 性 验证 技术 的 着 眼 点 都 是 提供 某 种 检测 标准 ,根据 这 些 检测 标准 可 以 
发 现 报 文 被 修改 过 的 蛛丝马迹 。 当 发 现 信 息 不 完整 时 , 即 可 要 求 对 方 重新 发 送 来 确保 网 
上 传送 信息 的 完整 性 。 在 电子 商务 实践 活动 中 ,元 余 密 文 完整 性 控制 技术 应 用 得 比较 广 
泛 。 通 常人 们 是 使 用 安全 Hash 编码 法 (secure hash algorithm,SHA) 对 明文 进行 计算 操 
作 得 到 一 定 长 的 128bit 的 元 余 密 文 。 这 就 是 通常 所 称 的 数字 摘要 技术 ,所 得 到 的 128bit 
的 密 文 称 为 消息 摘要 或 数字 指纹 。 


3. 数字 签名 技术 


在 电子 商务 活动 中 ,人 们 是 通过 网 上 信息 的 传送 来 完成 交易 过 程 的 。 它 一 方面 提高 
了 商业 活动 的 效率 ; 另 一 方面 也 给 欺诈 行为 的 发 生 留 下 了 很 大 的 空间 。 

在 传统 的 以 书面 文件 为 基础 的 处 理 中 ,为 防止 这 些 欺诈 行为 采取 了 交易 双方 在 书面 
文件 上 签名 的 方法 。 书 面 签名 的 形式 包括 手写 签名 .印章 、 指 印 等 。 但 无 论 是 何 种 形式 
的 签名 都 必须 符合 非 伪造 性 和 可 鉴别 性 这 两 个 基本 要 求 。 这 样 在 对 文件 签名 之 后 如 果 
出 现 纠纷 ,有 关 当 事 人 只 需 向 某 公 证 机 构 出 示 签 名 文件 。 由 它 来 鉴别 签名 ,判定 文件 是 
和 否 真实 有 效 ,并 据 此 明确 双方 的 权利 义务 和 责任 ,从 而 有 效 地 解决 纠纷 ,制止 欺诈 行为 。 

在 电子 商务 活动 中 交易 双方 使 用 电子 文件 来 记载 各 交易 事项 , 面 对 电 子 文件 就 必须 
采取 数字 化 的 签名 方式 , 即 数 字 签 名 。 虽 然 数字 签名 采取 了 二 进 制 数字 技术 ,但 作为 签 
名 方式 之 一 , 它 还 是 必须 达到 所 有 签名 方式 都 应 达到 的 要 求 。 

(1) 接收 方 或 非法 者 不 能 伪造 签名 和 算 改 文件 。 

(2) 接收 方 能 够 鉴别 发 送 方 的 真实 身份 。 

(3) 发 送 方 事后 不 能 对 自己 发 送 文件 行为 进行 抵赖 。 

现代 数字 签名 技术 以 加 密 技 术 为 基础 ,采用 加 密 技 术 的 加 解密 算法 体制 来 实现 对 报 
文 的 数字 签名 。 具 体 实 现 数字 签名 的 方法 很 多 ,但 在 目前 电子 商务 实践 中 使 用 最 广泛 的 
是 非 对 称 密 钥 数 字 签 名 技术 。 

使 用 这 一 技术 进行 数字 签名 时 ,签名 人 首先 利用 单 向 Hash 函数 产生 所 要 签署 的 电 
子 文件 的 消息 摘要 ,再 使 用 自己 的 私有 密 钥 加 密 该 消息 摘要 ,所 得 结果 即 为 签名 人 对 该 
电子 文件 的 数字 签名 。 签 名 人 可 将 文件 和 数字 签名 一 起 发 送 给 接收 方 ,接收 方 可 用 签名 
人 的 公开 密 钥 解密 数字 签名 ,得 到 文件 的 消息 摘要 ,从 而 可 验证 文件 是 否 完整 。 

一 般 为 了 实现 在 公开 网 络 上 的 安全 传输 ,人 们 同时 使 用 了 数字 签名 技术 和 信息 加 密 
技术 。 下 面 简单 分 析 数 字 签 名 和 信息 加 密 的 文件 传输 过 程 。 

(1) 发 送 方 首先 使 用 单 向 Hash 函数 从 原文 得 到 消息 摘要 ,然后 使 用 发 送 方 的 私有 
密 钥 对 消息 摘要 进行 加 密 ,得 到 数字 签名 ,并 将 数字 签名 附加 在 要 发 送 的 原文 之 后 。 

(2) 发 送 方 选择 一 个 秘密 密 钥 对 文件 进行 加 密 , 并 将 加 密 后 的 文件 通过 网 络 传送 到 
接收 方 。 

(3) 发 送 方 用 接收 方 的 公开 密 钥 ,对 秘密 密 钥 进行 加 密 , 生 产 数字 信封 ,并 通过 网 络 
将 数字 信封 传送 到 接收 方 。 

(4) 接收 方 使 用 自己 的 和 有 密 钥 解密 数字 信封 ,得 到 秘密 密 钥 。 
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(5) 接收 方 使 用 秘密 密 钥 解密 文件 密 文 ,得 到 文件 明文 和 数字 签名 。 

(6) 接收 方 使 用 发 送 方 的 公开 密 钥 解密 数字 签名 ,得 到 文件 的 消息 摘要 。 

(7) 接收 方 使 用 单 向 Hash 函数 对 文件 明文 重新 计算 产生 消息 摘要 。 并 将 它 与 解密 
后 的 消息 摘要 进行 比较 。 如 果 两 个 摘要 相同 , 则 说 明文 件 在 传输 过 程 中 没有 被 破坏 。 

从 上 述 过 程 可 以 看 出 , 非 对 称 密 钥 签 名 技术 完全 可 以 满足 电子 商务 对 数字 签名 所 提 
出 的 要 求 , 是 一 种 行 之 有 效 的 数字 签名 技术 。 

从 开放 网 络 上 的 安全 传输 过 程 可 见 ,数字 签名 的 加 解密 过 程 和 秘密 密 钥 的 加 解密 过 
程 虽然 都 使 用 公开 密 钥 体系 ,但 实现 的 过 程 正好 相反 ,使 用 的 密 钥 对 也 不 同 。 数 字 签 名 
使 用 的 是 发 送 方 的 密 钥 对 , 即 发 送 方 用 自己 的 私有 密 钥 进行 加 密 , 接 收 方 用 发 送 方 的 公 
开 密 钥 进 行 解密 。 这 是 一 个 一 对 多 的 关系 ,任何 拥有 发 送 方 公开 密 钥 的 人 都 可 以 验证 数 
字 签 名 的 正确 性 。 而 秘密 密 钥 的 加 解密 则 使 用 的 是 接收 方 的 密 钥 对 ,这 是 一 个 多 对 一 的 
关系 ,任何 知道 接收 方 公 开 密 钥 的 人 都 可 以 向 接收 方 发 送 加 密 信 息 , 只 有 唯一 拥有 接收 
方 私有 密 钥 的 人 才能 对 信息 解密 。 在 实用 过 程 中 ,通常 一 个 用 户 拥有 两 个 密 钥 对 ,一 个 
密 钥 对 用 来 进行 数字 签名 ; 另 一 个 用 来 对 秘密 密 钥 进行 加 密 解 密 。 这 样 , 数 字 签 名 和 信 
息 加 密 分 别 使 用 不 同 的 密 钥 对 ,为 系统 提供 了 更 高 的 安全 性。 


4. 身份 认证 技术 


身份 认证 是 证 实 一 个 声称 的 身份 或 角色 (如 用 户 机 器 .节点 等 ) 是 否 真实 的 过 程 , 它 
是 实现 授权 、 审 计 等 访问 控制 过 程 的 必要 条 件 , 是 计算 机 网 络 安全 系统 不 可 缺少 的 组 成 
部 分 。 

认证 技术 主要 依赖 于 对 象 知道 的 东西 (如 密码 .PIN 值 ) 、 对 象 拥 有 的 东西 (如 IC 卡 、 
信物 ) 和 对 象 的 生物 统计 学 上 的 特征 (如 指纹 .声音 ) 。 

现在 一 般 采 用 的 是 第 一 种 认证 技术 ,即使 用 只 有 合法 用 户 才 知道 的 密码 来 认证 用 户 
身份 。 显 然 在 网 络 上 传送 密码 是 不 安全 的 .必须 引入 加 密 技术 对 认证 过 程 进行 保护 ,这 
就 要 涉及 不 同 的 密 钥 系统 。 

对 称 密 钥 系统 是 最 早 被 应 用 于 认证 过 程 的 密 钥 系 统 。 使 用 对 称 密 钥 加 密 技 术 的 认 
证 系统 往往 需要 引入 一 个 可 信 第 三 方 ,由 其 充当 认证 权威 ,为 系统 中 每 个 合法 用 户 分 配 
一 个 唯一 性 的 标识 名 和 秘密 密 钥 ,并 负责 对 它们 进行 管理 ,而 且 它 还 要 在 通信 双方 相互 
认证 的 具体 过 程 中 发 挥 关键 性 的 作用 。 下 面 简单 地 分 析 一 下 这 类 系统 的 原理 。 

认证 服务 器 (authentication server,AS) 为 可 信 第 三 方 ;A、B 为 两 个 需要 通信 的 系统 
用 户 ;INA INB 分 别 为 A、B 两 个 用 户 的 标识 名 ;KA 、KB 分 别 为 A、B 两 个 用 户 的 秘密 密 
钥 ;T 表 示 系 统 时 间 ;{……)K 表示 用 密 钥 K 加 密 {} 中 的 数据 。 

(1) 用 户 A 向 认证 服务 器 AS 发 送 通信 请 求 , 请 求 信息 中 包括 了 INA INB。 

(2) 认证 服务 器 AS 根据 INA INB 找到 分 配给 用 户 A 和 用 户 B 的 秘密 密 钥 KA 和 
KB, 然 后 为 用 户 A 和 用 户 B 的 此 次 通信 分 配 一 个 会 话 密 钥 KK, 并 生成 {INB,K}KA 和 
{INA,INB,K}KB, 将 这 些 加 密 信息 发 送 给 用 户 A。 

(3) 用 户 A 接收 到 AS 发 来 的 请 求 信息 后 .首先 输入 自己 的 密码 ,车 输入 的 密码 正确 
即 可 使 用 KA 解密 {INB,K}KA ,得 到 会 话 密 钥 KK, 然后 生成 {INA,T}K, 并 将 其 和 {INA， 
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INB,K}KB 一 起 发 送 给 用 户 B。 

(4) 用 户 B 输 入 自己 的 正确 密码 后 ,使 用 KB 解密 (INA,INB,K})KB, 得 到 KK, 再 用 
解密 {INA,T}K, 并 验证 所 收 到 的 信息 是 否 一 致 。 若 一 致 即 证 明了 通信 对 方 是 具有 标识 
名 INA 的 合法 用 户 A。 

(5) 用 户 B 生成 应 答 信息 {INB,T}K ,发 送 给 用 户 A。 

(6) 用 户 A 使 用 KK 解密 {INB,T}K, 并 验证 用 户 B 发 来 的 信息 与 AS 发 来 的 信息 是 
否 一 致 。 若 一 致 即 证 明了 通信 对 方 是 具有 标识 INB 的 合法 用 户 B。 此 后 ,双方 即 可 使 用 
会 话 密 钥 K 进行 保密 通信 。 

由 上 述 可 见 , 此 类 认证 系统 的 特点 是 由 可 信 第 三 方 为 每 个 合法 用 户 分 配 一 个 秘密 密 
钥 , 而 该 秘密 密 钥 就 作为 特殊 的 密码 起 着 验证 每 个 进入 系统 的 用 户 是 否 具有 合法 身份 的 
作用 。 但 这 类 认证 系统 的 明显 缺陷 是 ,可 信 第 三 方 容易 形成 系统 性 能 “瓶颈 ,这 就 决定 
了 这 类 认证 系统 只 是 在 中 小 规模 的 网 络 系统 中 得 到 广泛 的 应 用 。 

随 着 大 规模 网 络 系统 的 发 展 , 特 别 是 在 Internet 网 络 出 现 后 , 非 对 称 密 钥 加 密 技术 
tte 其 标志 :就 是 数字 签名 技术 被 用 于 身份 认证 过 程 。 但 数字 

只 能 够 将 签名 人 与 他 声称 具有 的 身份 和 公开 密 钥 对 应 起 来 ,而 完整 的 身份 认证 过 程 
包括 对 用 户 声称 具有 的 身份 和 公开 密 钥 的 合法 性 进行 确认 。 只 有 这 样 才 能 证 明 
签名 人 不 仅 具 有 确认 的 身份 ,还 具有 合法 的 身份 。 这 样 的 工作 仅 靠 通信 的 双方 是 不 能 胜 
任 的 ,而 必须 由 一 个 大 家 都 信任 的 第 三 方 认证 机 构 来 承担 。 为 此 引入 了 认证 中 心 
(certification 0 CA ) 和 证 书 (certification) 这 两 个 概念 。 

CA 是 一 个 受 大 家 信任 的 第 三 方 认 证 机 构 , 用 户 向 CA 提交 自己 的 公开 密 钥 和 其 他 
Ba ,CA 验证 了 用 户 的 有 效 身 份 之 后 ,向 用 户 颁发 一 个 经 过 CA 私有 密 
钥 签 名 的 证 书 。 证 书 就 是 一 个 文档 , 它 记 录 了 用 户 的 公开 密 钥 和 其 他 身份 信息 。 

这 样 ,两 个 用 户 在 通信 前 可 以 相互 交换 证 书 , 了 解 对 方 所 声称 具有 的 身份 和 公开 密 
钥 。 由 于 每 份 证 书 上 都 有 CA 的 数字 签名 ,用 户 可 以 用 CA 的 公开 密 钥 解密 数字 签名 ,得 
到 证 书 的 消息 摘要 ,再 对 证 书 重 新 计算 消息 摘要 ,最 后 将 两 条 摘要 相 比 较 , 若 相等 则 说 明 
数字 签名 是 有 效 的 ,证 书 确实 是 CA 所 签发 的 。 从 而 对 方 所 声称 具有 的 身份 和 公开 密 钥 
者 是 真实 的 、 合 法 的 。 这 一 步 完成 之 后 ,双方 再 相互 交换 文件 和 数字 签名 ,并 根据 数字 签 
名 验证 对 方 的 确 是 所 声称 具有 的 身份 和 公开 密 钥 的 真正 拥有 者 ,这样 就 可 判定 签名 人 有 具 
有 确定 的 合法 身份 ,从 而 完成 了 整个 认证 过 程 。 

CA 用 来 为 用 户 签发 证 书 ,提供 身 份 认证 服务 ,是 整个 系统 的 安全 核心 。 在 非 对 称 秘 
密 密 钥 认证 系统 中 ,用 户 的 签名 密 钥 和 加 密 密 钥 通常 是 分 开 的 .而 CA 只 知道 用 户 的 签名 
公 钥 ,这 样 就 降低 了 CA 受到 攻击 的 危害 程度 ,避免 了 可 信 第 三 方 被 攻击 整个 系统 即 陷 入 
瘫 痰 的 严重 问题 。 此 外 ,在 认证 系统 中 CA 只 负责 审核 用 户 的 真实 身份 并 对 此 提供 证 明 ， 
而 不 介入 具体 的 认证 过 程 , 从 而 缓解 了 可 信 第 三 方 的 系统 “瓶颈 ”问题 ,而 且 CA 只 需 管理 
每 个 用 户 的 一 个 公开 密 钥 ,大 大 降低 了 密 钥 管理 的 复杂 性 。 这 些 优点 使 得 非 对 称 密 钥 认 
证 系统 用 于 用 户 众多 的 大 规模 网 络 系统 。 

为 了 与 大 规模 网 络 系统 的 用 户 众 多 且 分 布 广泛 的 特点 相 适应 ,CA 也 采用 了 分 布 式 
和 分 级 信任 的 体系 ,即将 所 有 用 户 分 成 若干 个 用 户 群 ,每 个 用 户 群 有 一 个 专门 的 CA 为 其 
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提供 身份 认证 服务 和 签发 证 书 。 这 是 第 一 级 的 CA, 对 它们 又 可 划分 成 不 同 的 组 ,每 组 第 
一 级 CA 又 有 一 个 专门 的 第 二 级 CA 为 其 签发 证 书 , 提 供认 证 服务 ;以 此 类 推 ,直至 到 达 
一 个 最 高 级 CA ,由 它 为 所 有 它 的 下 一 级 CA 签发 证 书 , 提 供认 证 服务 。CA 内 部 呈现 为 
倒 树 形 结构 ,顶部 的 最 高 级 CA 也 可 称 为 根 CA ,而 且 在 一 个 认证 系统 中 只 能 有 唯一 的 根 
CA, 它 是 所 有 各 方 都 绝对 信任 的 认证 权威 。 

在 这 样 一 种 分 级 信任 体系 中 ,一 个 用 户 不 仅 可 以 检查 对 方 用 户 的 身份 ,还 可 检查 为 
对 方 用户 颁 发 证 书 的 CA 的 身份 ,并 可 沿 着 分 级 信任 的 层次 结构 对 各 级 CA 的 身份 都 进 
行 验证 ,直到 根 CA 为 止 。 这 种 分 级 信息 的 非 对 称 密 钥 认 证 系统 已 成 为 Internet 网 络 上 
的 主流 认证 系统 。 


544 电子 支付 系统 的 安全 技术 


1. 电子 支付 系统 的 安全 要 求 


利用 电子 商务 进行 商品 交易 ,必然 会 牵涉 到 支付 。 随 着 Internet 的 日 益 普 及 ,已 开 
发 出 了 很 多 网 上 支付 系统 。“ 网 上 支付 "顾名思义 是 通过 网 络 进行 货币 支付 ,其 本 质 是 试 
图 在 网 上 把 现 有 的 支付 结构 转化 为 电子 形式 。 例 如 ,国外 的 实物 商品 零售 应 用 系统 大 都 
采用 了 支票 处 理 方式 ,从 而 避免 了 大 量 的 纸张 处 理 。 而 信用 卡 行业 已 建立 了 一 系列 的 设 
施 , 使 得 在 大 范围 内 实现 信用 卡 联机 服务 。 在 电子 现金 方面 ,出 现 了 许多 新 的 现金 形式 ， 
这 些 新 的 现金 形式 往往 是 为 支持 特定 的 购买 者 和 销售 商 之 间 的 关系 而 设计 的 。 

货币 的 不 同形 式 导致 了 不 同 的 支付 方式 。 一 个 安全 、 有 效 的 支付 系统 是 实现 电子 商 
务 的 重要 前 提 , 它 应 有 以 下 功能 。 

(1) 使 用 X509 和 数字 签名 实现 对 各 方 的 认证 。 

(2) 使 用 加 密 算法 对 业务 进行 加 密 。 

(3) 使 用 消息 摘要 算法 以 保证 业务 的 完整 性 。 

(4) 在 业务 出 现 异议 时 ,保证 对 业务 的 不 可 否认 性 。 

(5) 处 理 多 方 贸易 的 多 支付 协议 。 [认证 机 构 | 

为 了 实现 协议 的 安全 性 ,必须 对 参与 贸易 的 各 
方 身份 有 效 性 进行 认证 。 例 如 ,客户 必须 向 商家 和 [客户 的 开户 银行 商家 的 开户 银行 
银行 证 明 自 己 的 身份 ,商家 必须 向 客户 及 银行 证 明 
自己 的 身份 ,示意 图 如 图 5-11 所 示 。 [客户 商家 | 

其 中 ,商家 的 开户 银行 表示 商家 在 其 中 有 账号 
的 某 财政 机 构 , 称 为 接收 行 。 支 付 网 关 是 由 接收 行 
操作 的 用 于 处 理 商家 支付 信息 的 设备 。 证 书 发 放 机 构 CA 的 职能 是 向 各 方 发 放 X509 证 
书 。 在 某 些 接 收 行 也 可 能 有 自己 的 注册 机 构 , 由 注册 机 构 向 商家 发 放 证 书 ,商家 可 向 客 
户 出 示 这 个 证 书 以 向 客户 说 明 自 己 是 合法 的 。 认 证 机 构 和 注册 机 构 的 工作 应 是 协调 的 。 

为 实现 保密 ,系统 应 支持 某 些 加 密 方案 。 在 使 用 网 页 浏览 器 和 服务 器 的 同时 ,系统 
可 利用 安全 套 接 字 层 SSL 和 安全 的 超 文本 传输 协议 S-HTTP。 根 据 需 要 ,加 密 算法 可 使 
用 单 钥 或 公 钥 算 法 ,通过 利用 加 密 和 消息 摘要 算法 ,以 获得 数据 的 加 密 和 数据 的 完整 性 。 


图 5-11 认证 方 之 间 示意 图 
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业务 的 不 可 否认 性 是 通过 使 用 公 钥 体制 和 X509 证 书 体制 来 实现 的 。 业 务 的 一 方 发 
出 他 的 X509 证 书 ,接收 方 可 从 中 获得 发 送 方 的 公 钥 。 此 外 ,每 个 消息 可 使 用 MD5 单 向 
杂凑 算法 加 以 保护 。 发 送 方 可 使 用 自己 的 秘密 密 钥 加 密 消息 的 摘要 ,并 把 加 密 结果 一 同 
发 送 给 接收 方 。 接 收 方 用 发 送 方 的 公 钥 证 实 发 送 方 的 确 已 发 出 了 一 个 特定 的 消息 ,然后 
发 送 方 可 计算 一 个 新 的 秘密 密 钥 用 于 下 次 加 密 消息 摘要 。 

多 支付 协议 应 满足 以 下 两 个 要 求 : 这 些 要 求 可 加 强 传统 支付 方案 的 安全 性 ,商家 只 
能 读 取 订单 信息 ,如 货物 的 类 型 和 销售 价 。 接 收 行 对 支付 认证 ,商家 就 不 必 读 取 客 户 信 
用 卡 的 信息 了 。 接 收 行 只 需 知道 支付 信息 ,无 须知 道 客户 所 购 何 物 。 在 客户 购买 大 额 物 
品 时 可 能 例外 。 


2. 电子 支付 手段 


典型 的 电子 支付 手段 有 电子 信用 卡 .电子 支票 .电子 现金 。 

1) 电子 信用 卡 

在 早期 的 Web 站 点 商务 应 用 中 ,只 是 要 求 输入 信用 卡号 码 ,然后 把 这 个 号 码 以 明码 
方式 通过 Internet 传送 给 清算 系统 ,以 获得 确认 。 显 然 ,这 种 方式 的 安全 性 是 有 问题 的 。 
其 后 ,为 了 提高 联机 信用 卡 的 安全 性 ,采取 了 一 系列 的 技术 。 

首先 ,在 Netscape 和 Microsoft 的 Web 的 设施 中 ,都 实现 了 安全 套 接 字 层 SSL。 
SSL 保证 在 浏览 器 与 Web 服务 器 间 的 通信 信息 不 会 被 第 三 方 获取 。 这 样 有 效 地 防止 了 
通过 监听 网 络 来 收集 信用 卡号 码 或 修改 有 关 交 易 
报 文 的 可 能 。 1 

图 5-12 是 电子 信用 卡 系统 示意 图 。 o@| el @ 

系统 的 参与 者 共有 四 方 : 具有 Web 浏览 器 的 | 
客户 ;处 理 信用 卡 业务 并 提供 主页 的 商家 服务 器 ; 客户 上 国 “| 亲家 
为 商家 处 理 信用 卡 业务 的 商家 的 开户 行 ;发卡 -一 
机 构 。 图 5-12 电子 信用 卡 系统 运行 流程 

使 用 信用 卡 的 业务 过 程 分 三 个 阶段 。 

第 一 阶段 完成 客户 的 购物 。 客 户 访问 商家 的 主页 ,得 到 商家 货物 明细 单 。 客 户 挑选 
所 需 的 货物 ,并 用 信用 卡 向 商家 支付 。 商 家 服务 器 访问 其 银行 ,对 客户 的 信用 卡号 码 及 
所 购 货物 的 数量 进行 认证 。 银 行 完 成 认证 后 ,通知 商家 购物 过 程 是 否 向 下 继续 进行 。 商 
家 通知 客户 业务 是 否 已 经 完成 。 

第 二 阶段 从 客户 账目 向 商家 账目 转账 。 商 家 服务 器 访问 商家 的 开户 行 ,并 向 银行 提 
供 购物 的 收据 。 商 家 银行 访问 发 卡 机 构 以 取得 商家 所 得 到 的 现金 。 

第 三 阶段 通知 客户 应 支付 的 款额 ,并 为 客户 下 账 。 发 卡 机 构 根 据 一 段 时 间 内 (可 能 
一 个 月 ) 客 户 购物 时 应 向 各 商家 支付 的 款额 ,为 客户 下 账 ,并 通知 客户 。 

2) 电子 支票 

电子 支票 系统 用 于 发 出 支付 和 处 理 支付 的 网 上 服务 。 付 款 人 向 收 款 人 发 出 电子 支 
票 , 收 款 人 将 其 存 银行 以 取出 现金 。 每 宗 业务 都 是 在 Internet 上 进行 的 。 电 子 支票 与 通 
常 支票 工作 方式 大 致 相同 , 它 具 有 一 种 类 似 的 电子 签名 ,常规 的 加 密 方式 使 得 电子 支票 


[下 机 构 (CA)|- 忆 一 | 商家 的 开户 银行 
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和 通常 的 支票 都 适用 于 信用 卡 无 法 处 理 的 小 额 支 付 。 目 前 已 开发 的 许多 系统 是 为 那些 
通过 Internet 出 售 信 息 或 小 型 软件 程序 的 公司 而 设计 的 。 几 乎 所 有 的 方案 都 依赖 第 三 


方 或 经 纪 人 ,他 们 证 实 客户 拥有 买 货 的 款额 ， _- 
也 可 以 证 实在 客户 付款 前 ,商家 已 交 货 。 由 于 Er ® 
这 个 过 程 高 度 自动 化 ,即使 是 交易 额 小 到 一 @| [ef qa 
分 ,这 种 方式 也 很 经 济 划算 。 加 

图 5-13 是 电子 支票 系统 的 描述 。 系 统 中 [we 家 


主要 的 各 方 有 客户 、 商 家 、 客 户 的 开户 行商 家 
的 开户 行 , 票 据 交易 所 可 由 一 独立 的 机 构 或 现 
有 的 一 个 银行 系统 承担 ,其 功能 是 在 不 同 的 银行 之 间 处 理 票据 。 

客户 使 用 一 种 访问 Internet 上 不 同 Web 服务 器 的 浏览 器 ,可 浏览 网 上 的 商店 。 该 浏 
览 器 同时 还 可 向 用 户 显 示 电 子 支票 的 格式 。 

一 宗 完整 的 电子 支票 业务 由 下 面 略 述 的 若干 步 构 成 ,这 些 步骤 可 分 为 三 个 不 同 阶 
段 , 如 图 5-13 所 示 。 

第 一 阶段 购买 货物 。 客 户 访问 商家 的 服务 器 ,商家 的 服务 器 向 客户 介绍 其 货物 。 客 
户 挑选 货物 并 向 商家 发 出 电子 支票 。 商 家 通过 其 开户 银行 对 支付 进行 认证 ,验证 客户 支 
票 的 有 效 性 。 如 果 支 票 是 有 效 的 ,商家 则 接收 客户 的 这 宗 业务 。 

第 二 阶段 把 支票 存 人 商家 的 开户 银行 。 商 家 把 支票 电子 化 发 送 给 它 的 开户 行 。 商 
家 可 根据 自己 的 需要 , 何 时 发 送 由 其 自行 决定 。 

第 三 阶段 不 同 银行 之 间 交 换 支 票 。 商 家 的 开户 行 把 电子 支票 发 送 给 交易 所 以 兑换 
现金 。 交 易 所 向 客户 的 开户 行 兑换 支票 ,并 把 现金 发 送 给 商家 的 开户 银行 。 客 户 的 开户 
行为 客户 下 账 。 

与 传统 的 纸 支 票 和 其 他 形式 的 支付 相 比 ,电子 支票 有 以 下 优点 。 

(1) 节省 时 间 。 电 子 支票 的 发 行 不 需要 填写 、 邮 和 寄 或 发 送 , 而 且 电 子 支票 的 处 理 也 很 
省 时 。 在 用 纸 支 票 时 ,商家 必须 收集 所 有 的 支票 并 存 人 其 开户 行 。 用 电子 支票 ,商家 可 
即时 发 送 给 银行 ,由 银行 将 其 人 账 。 所 以 ,使 用 电子 支票 可 节省 从 客户 写 支票 到 为 商家 
和 人 账 这 一 段 时 间 。 

(2) 减少 了 处 理 纸 支票 时 的 费用 。 使 用 电子 支票 可 免除 诸如 每 月 第 一 天 在 银行 的 排 
长 队 ,大 学 新 学 期 缴 学 费时 的 排 长 队 。 相 应 地 ,减少 了 银行 职员 在 收 支票 ,处理 支票 以 及 
向 客户 邮寄 注销 支票 时 的 工作 。 

(3) 减少 了 支票 被 退回 情况 的 发 生 。 电 子 支 票 的 设计 方式 使 得 商家 在 接收 前 , 先 得 
到 客户 开户 行 的 认证 ,类 似 于 银行 本 票 。 

(4) 电子 支票 在 用 于 支付 时 ,不 必 担 心 丢 失 或 被 盗 。 如 果 被 瓷 , 接 收 者 可 要 求 支付 者 
停止 支付 。 

(5) 电子 支票 不 需要 安全 的 存储 ,只 需 对 客户 的 秘密 密 钥 进行 安全 存储 。 

(6) 电子 支票 也 有 某 些 保 密 性 方面 的 考虑 。 电 子 支 票 必须 经 手 银行 系统 ,银行 系统 
对 经 手 的 每 宗 业务 必须 用 文件 证 明 其 细 目 。 同 时 必须 为 被 支付 者 保密 ,不 可 泄露 业务 的 
细节 。 


图 5-13 电子 支票 系统 运行 流程 
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3) 电子 现金 

电子 现金 又 称 为 数字 现金 ,是 能 被 客户 和 商家 接受 的 \. 通 过 Internet 购买 商品 或 服 
务 时 使 用 的 一 种 交易 媒介 。 

系统 中 有 一 电子 现金 的 发 行 银 行 , 记 为 E-Mint。 它 根据 客户 所 存款 向 客户 兑换 等 值 
的 电子 现金 ,所 兑换 的 电子 现金 须 经 数字 签字 。 客 户 可 用 E-Mint 发 行 的 电子 现金 在 网 
上 购物 。 
ye sin wliolie ss Oe © Pe 

,其 立 的 三 个 阶段 。 

第 一 阶段 获得 电子 现金 。 客 户 为 了 获得 
电子 现金 ,要 求 他 的 开户 行 把 其 存款 转 到 E- 
Mint。 客 户 的 开户 行 从 客户 的 账目 向 E-Mint 
转账 。E-Mint 给 客户 发 送 电子 现金 。 客 户 将 图 5-14 ”电子 现金 系统 运行 流程 
电子 现金 存 人 其 计算 机 或 Smart 卡 。 

第 二 阶段 用 电子 现金 购物 。 客 户 挑 选 货物 并 且 把 电子 现金 发 送 给 商家 。 商 家 向 客 
户 提 供 货物 。 

第 三 阶段 商家 兑换 电子 现金 。 商 家 收 到 电子 现金 发 送 给 E-Mint, 或 者 商家 把 电子 现 
金发 送 给 他 的 开户 银行 ,由 开户 银行 负责 在 E-Mint 兑换 。E-Mint 把 款项 划 到 商家 的 开 
户 银 行 , 商 家 的 开户 银行 为 商家 入 账 。 

以 上 过 程 是 在 客户 和 商家 之 间 进 行 的 。 类 似 地 可 用 于 在 两 个 客户 或 两 个 机 构 如 银 
行 、 学 校 , 企 业 之 间 进 行 。 


545 电子 商务 安全 策略 


随 着 互联 网 的 不 断 发 展 , 在 世界 范围 内 掀起 了 一 股 电子 商务 热潮 。 许 多 国家 的 政府 
部 门 对 电子 商务 的 发 展 十 分 重视 。 中 国 对 电子 商务 的 发 展 也 给 予 了 应 有 的 重视 ,考虑 到 
电子 商务 必然 涉及 网 上 支付 及 银行 支付 结算 ,为 了 做 好 前 瞻 性 的 研究 ,中 国人 民 银 行 支 
付 科 技 司 早 在 1998 年 6 月 就 组 织 成 立 了 电子 商务 课题 组 对 银行 支付 在 电子 商务 中 的 作 
用 和 对 策 进行 研究 ,并 在 研究 基础 上 ,组 织 各 商务 银行 联合 共 建 金融 认证 中 心 , 即 CA 中 
心 ,为 网 上 安全 支付 创造 了 条 件 。 实 现 电 子 商 务 的 关键 是 要 保证 商务 活动 过 程 中 系统 的 
安全 性 , 即 应 保证 在 向 基于 Internet 的 电子 交易 转变 的 过 程 中 与 传统 交易 的 方式 一 样 安 
全 可 行 。 电 子 商务 的 安全 主要 采用 数据 加 密 和 身份 认证 技术 。 下 面 主 要 从 认证 系统 、 
SSL 协议 和 安全 电子 交易 SET 协议 3 个 方面 来 加 以 论述 。 


(0) E-Mint 


1. 认证 系统 


电子 商务 的 关键 是 安全 ,网 上 安全 交易 的 基础 是 数字 证 书 。 证 书 类 似 于 现实 生活 中 
的 身份 证 ,用 以 在 网 络 上 鉴别 个 人 或 组 织 的 真实 身份 。 证 书 的 颁发 机 构 叫 做 Certificate 
Authority, 通 常 简称 为 CA。 要 建立 安全 的 电子 商务 系统 ,必须 首先 建立 一 个 稳固 、 健 全 
的 CA; 和 否则 一 切 网 上 的 交易 都 没有 安全 保障 。 传 统 的 对 称 密 钥 算法 具有 加 密 强 度 高 、 运 
算 速 度 快 的 优点 ,但 密 钥 的 分 发 与 管理 问题 限制 了 它 的 应 用 。 为 解决 此 问题 ,20 世纪 
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70 年 代 密 码 界 出 现 了 公开 密 钥 算法 (rivest shamir adleman， RSA)。RSA 算法 是 公开 密 
钥 算法 中 研究 最 为 深入 ,使 用 最 为 广泛 的 算法 ,为 大 多 数 国家 (地 区 ) 的 官方 或 非 官方 所 
采用 。 整 个 认证 系统 是 一 个 大 的 网 络 环境 ,系统 从 功能 上 基本 可 以 划分 为 CA、RA( 证 书 
的 登记 机 构 ) 和 WP( 证 书 的 分 页 系统 )。 

1) 认证 系统 的 基本 原理 

20 世纪 70 年 代 密 码 界 出 现 的 公开 密 钥 算 法 使 用 一 对 密 钥 , 即 一 个 私 钥 和 一 个 公 钥 。 
其 对 应 关系 是 唯一 的 , 公 钥 对 外 公开 , 私 钥 个 人 秘密 保存 。 一 般 用 公 钥 来 进行 加 密 , 用 私 
钥 进行 签名 。 同 时 私 钥 用 来 解密 , 公 钥 用 来 验证 签名 。 算 法 的 加 密 强 度 主要 取决 于 选 定 
的 密 钥 长 度 。 

利用 RSA 公开 密 钥 算法 在 密 钥 自动 管理 .数字 签名 、 身 份 识别 等 方面 的 特性 ,可 建 
立 一 个 为 用 户 的 公开 密 钥 提供 担保 的 可 信 的 第 三 方 认 证 系统 。 这 个 可 信 的 第 三 方 认证 
系统 也 称 为 CA,CA 为 用 户 发 放电 子 证 书 ,用 户 之 间 ( 比 如 网 银 服务 器 和 某 客户 之 间 ) 利 
用 证 书 来 保证 信息 安全 性 和 双方 身份 的 合法 性 。 

2) 系统 结构 

核心 系统 和 CA 放 在 一 个 单独 的 封闭 空间 中 ,为 了 保证 运行 的 绝对 安全 ,其 人 员 及 制 
度 都 应 有 严格 的 规定 ,并 且 系 统 设计 为 离线 网 络 。CA 的 功能 是 在 收 到 来 自 RA 的 证 书 
请 求 时 颁发 证 书 。 一 般 的 个 人 证 书 发 放 过 程 都 是 自动 进行 ,无 顷 人 工 干预 。 

证 书 的 登记 机 构 (register authority,RA) 分 散在 各 个 网 上 银行 的 地 区 中 心 。RA 与 
网 银 中 心 有 机 结合 ,接受 客户 申请 ,并 审批 申请 ,把 证 书 正式 请 求 通过 银行 企业 内 部 网 发 
送 给 CA 中 心 。RA 与 CA 双方 的 通信 报 文 也 通过 RSA 进行 加 密 ,确保 安全 。 系 统 的 分 
布 式 结构 适 于 新 业务 网 点 的 开设 ,具有 较 好 的 扩充 性 。 通 信 协 议 为 TCP/IP。 

证 书 的 公布 系统 (Web publisher, WP) 置 于 Internet 上 ,是 普通 用 户 和 CA 直接 交流 
的 界面 。 对 用 户 来 讲 它 相当 于 一 个 在 线 的 证 书 数据 库 。 用 户 的 证 书 颁发 之 后 ,CA 用 
E-mail 通知 用 户 ,然后 用 户 须 用 浏览 器 从 这 里 下 载 证 书 。 


2. SSL 协议 


SSL 协议 是 Netscape 公司 在 网 络 传输 层 上 提供 的 一 种 基于 RSA 和 保密 密 钥 的 用 于 
浏览 器 和 Web 服务 器 之 间 的 安全 连接 技术 。 它 被 视 为 Internet 上 Web 浏览 器 和 服务 器 
的 标准 安全 性 措施 。SSL 提供 了 用 于 启动 TCP/IP 连接 的 安全 性 * 信 号 交换 ”。 这 种 信 
号 交换 导致 客户 和 服务 器 同意 将 使 用 的 安全 性 级 别 , 并 履行 连接 的 任何 身份 验证 要 求 。 
它 通 过 数字 签名 和 数字 证 书 实现 浏览 器 和 Web 服务 器 双方 的 身份 验证 。 在 用 数字 证 书 
对 双方 的 身份 验证 后 ,双方 就 可 以 用 保密 密 钥 进行 安全 会 话 了 。 

SSL 协议 在 应 用 层 收发 数据 前 ,协商 加 密 算 法 、 连 接 密 钥 并 认证 通信 双方 ,从 而 为 应 
用 层 提 供 了 安全 的 传输 通道 。 在 该 通道 上 可 透明 加 载 任何 高 层 应 用 协议 (如 HTTP、 
FTP、TELNET 等 ) 以 保证 应 用 层 数据 传输 的 安全 性 。SSL 协议 独立 于 应 用 层 协 议 , 因 
此 在 电子 交易 中 被 用 来 安全 传送 信用 卡号 码 。 

中 国 目 前 多 家 银行 均 采用 SSL 协议 ,如 在 目前 中 国 的 电子 商务 系统 中 能 完成 实时 支 
付 ,用 的 最 多 的 招行 一 网 通 采用 的 就 是 SSL 协议 。 所 以 ,从 目前 实际 使 用 的 情况 看 ,SSL 
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还 是 人 们 最 信赖 的 协议 。 

SSL 当初 并 不 是 为 支持 电子 商务 而 设计 的 ,所 以 ,在 电子 商务 系统 的 应 用 中 还 存在 
很 多 刺 端 。 它 是 一 个 面向 连接 的 协议 ,在 涉及 多 方 的 电子 交易 中 ,只 能 提供 交易 中 客户 
与 服务 器 间 的 双方 认证 ,而 电子 商务 往往 是 用 户 、 网 站 、 银 行 三 家 协作 完成 ,SSL 协议 并 
不 能 协调 各 方 间 的 安全 传输 和 信任 关系 。 还 有 , 购 货 时 用 户 要 输入 通信 地 址 ,这 样 可 能 
使 得 用 户 收 到 大 量 垃圾 信件 。 

因此 ,为 了 实现 更 加 完善 的 电子 交易 ,MasterCard 和 Visa 以 及 其 他 一 些 业 界 厂 商 制 
定 并 发 布 了 SET 协议 。 

3. SET 协议 


SET 协议 是 针对 开放 网 络 上 安全 、 有 效 的 银行 卡 交易 ,由 Visa 和 MasterCard 联合 
研制 的 ,为 Internet 上 卡 支付 交易 提供 高 层 的 安全 和 反 欺 诈 保 证 。 

SET 协议 保证 了 电子 交易 的 机 密 性 .数据 完整 性 .身份 的 合法 性 和 抗 否认 性 。 

SET 是 专门 为 电子 商务 而 设计 的 协议 ,虽然 它 在 很 多 方面 优 于 SSL 协议 ,但 仍然 不 
能 解决 电子 商务 所 遇 到 的 全 部 问题 。 而 且 ,SET 遭 到 有 些 银行 的 抵制 ,其 前 途 如 何 , 尚 未 
得 知 。 


4. SSL 协议 与 SET 协议 的 比较 


1) SSL 的 优势 与 劣势 

SSL 是 一 个 比较 成 熟 的 通信 传输 协议 。 由 于 SSL 已 嵌入 Web 浏览 器 和 服务 器 ,使 
用 方便 ,因此 得 到 广泛 应 用 。 而 且 它 对 应 用 层 来 说 是 透明 的 ,不 需要 修改 应 用 程序 ,这 给 
用 户 带 来 了 很 大 的 便利 。 网 上 银行 支付 系 统 在 传输 机 密 数据 时 ,经 常 使 用 SSL 协议 。 
另 一 方面 ,SSL 协议 并 非 专门 为 电子 商务 设计 , 它 负 责 端 到 端的 安全 连接 ,只 保证 信息 传 
输 过 程 中 不 被 盗 取 、 算 改 , 但 不 提供 其 他 安全 保证 。 防 止 客户 抵赖 的 一 种 方法 是 向 持 卡 
人 颁发 数字 证 书 , 以 鉴别 客户 的 真实 身份 。 这 样 , 基 于 SSL 的 安全 协议 又 向 SET 靠近 了 
一 步 。 另 一 种 方法 是 采用 “表单 签名 ”, 利 用 这 一 功能 对 应 用 层 消息 进行 数字 签名 ,从 而 
弥补 SSL 缺乏 数字 签名 和 不 可 否认 性 的 缺陷 。 

另外 ,对 中 国 用 户 来 说 ,SSL 协议 的 一 个 严重 缺陷 就 是 加 密 强 度 太 弱 ,因为 美国 政府 
限制 ,所 以 出 口 到 我 国 的 SSL 的 密 钥 长 度 仅 有 40 位。 

2) SET 的 优势 与 劣势 

SET 协议 的 最 明显 特征 是 通过 CA 认证 体系 ,建立 交易 各 方 的 信任 关系 。 它 不 仅 具 
有 加 密 机 制 , 更 重要 的 是 通过 数字 签名 、 数 字 信 封 等 实现 身份 鉴别 和 不 可 否认 性 。SET 
对 商家 尤其 是 客户 提供 了 更 加 周到 的 安全 保护 ,最 大 限度 地 降低 遭受 欺诈 的 风险 。SET 
规范 了 电子 商务 活动 的 流程 , 即 规范 了 从 持 卡 人 到 商家 、 到 支付 网 关 、 到 认证 中 心 及 银行 
之 间 的 信息 流向 和 严密 的 加 密 、 认 证 标准 。SET 的 “双重 签名 ”机 制 能 够 最 大 限度 地 保护 
消费 者 的 利益 。SET 对 软 硬 件 环境 要 求 较 高 ,交易 成 本 较 高 。 首 先 ,SET 交易 是 基于 信 
用 卡 的 ,因此 , 它 面 向 的 是 社会 中 的 一 部 分 群体 一 一 持 卡 族 ;其 次 ,要 有 一 个 权威 的 认证 
中 心 (CA) 审 核 并 颁发 各 种 电子 证 书 ,包括 持 卡 人 证 书 、 特 约 商 户 证 书 、 支 付 网 关 证 书 收 
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单行 证 书 和 发 卡 行 证 书 ; 最 后 ,在 银行 .商家 和 客户 端 分 别 要 安装 专门 的 软件 ,比如 客户 
端的 电子 钱包 软件 用 于 完成 身份 鉴别 加密、 数字 签名 等 一 系列 工作 。 为 了 安全 存放 私 
钥 及 证 书 客户 最 好 拥有 智能 卡 、 读 卡 器 等 设备 。 目 前 流行 的 一 种 方案 就 是 所 谓 “ 面 向 商 
家 的 SET” 即 银行 与 商家 之 间 使 用 SET, 而 商家 与 客户 之 间 仍 使 用 SSL, 这 种 方案 回避 了 
客户 端 安装 电子 钱包 软件 ,但 没有 彻底 解决 客户 容易 遭受 欺诈 的 问题 。 


5. 与 电子 商务 安全 有 关 的 其 他 技术 


1) 密码 技术 

密码 技术 基本 思想 是 在 加 密 密 钥 Ke 的 控制 下 按照 加 密 算法 下 对 要 保护 的 数据 ( 即 
明文 M) 加 密 成 密 文 C, 记 为 C= 二 E(M ,Ke)。 而 解密 是 在 解密 密 钥 Kd 的 控制 下 按照 解密 
算法 D 对 密 文 C 进行 反 变 换 后 还 原 为 明文 M. 记 为 M==D(C,Kd)。 根 据 密 钥 性 质 的 不 
同 ,可 分 为 传统 密码 体制 和 公开 钥 密 码 体 制 两 大 类 型 。 密 码 技术 是 上 面 所 提 到 的 几 种 技 
术 的 基础 ,所 以 ,可 以 说 整个 电子 商务 的 安全 就 是 建立 在 密码 技术 基础 上 的 。 

2) 访问 控制 

除了 计算 机 网 络 硬件 设备 之 外 ,网 络 操作 系统 是 确保 计算 机 网 络 安全 的 最 基本 部 
件 。 它 是 计算 机 网 络 资源 的 管理 者 ,必须 具备 安全 的 控制 策略 和 保护 机 制 ,防止 非法 入 
侵 者 攻破 设防 而 非法 获取 资源 。 网 络 操作 系统 安全 保密 的 核心 是 访问 控制 , 即 确保 主体 
对 客体 的 访问 只 能 是 授权 的 ,未 经 授权 的 访问 是 不 允许 的 ,其 操作 是 无 效 的。 因此 ,授权 
策略 和 机 制 的 安全 性 显得 特别 重要 。 保 护 可 以 从 物理 隔离 .时 间隔 离 、 密 码 隔离 几 个 方 
面 加 以 考虑 。 

3) 防火 墙 技术 

设立 防火 墙 的 目的 是 保护 内 部 网 络 不 受 外 部 网 络 的 攻击 ,以 及 防止 内 部 网 络 的 用 户 
向 外 泄密 。 目 前 ,防火 墙 技术 主要 是 分 组 过 滤 和 代理 服务 两 种 类 型 。 分 组 过 滤 是 一 种 基 
于 路 由 器 的 防火 墙 。 它 是 在 网 间 的 路 由 器 中 按 网 络 安全 策略 设置 一 张 访问 表 或 黑 名 单 ， 
即 借助 数据 分 组 中 的 IP 地 址 确定 什么 类 型 的 信息 允许 通过 防火 墙 ,什么 类 型 的 信息 不 
允许 通过 。 目 前 ,80% 的 防火 墙 都 是 采用 这 种 技术 。 代 理 服务 是 一 种 基于 代理 服务 的 防 
火 墙 , 它 的 安全 性 高 ,增加 了 身份 认证 与 审计 跟踪 功能 ,但 速度 较 慢 。 

4) 数字 时 间 玲 

交易 文件 中 ,时 间 是 十 分 重要 的 信息 。 在 书面 合同 中 ,文件 签署 的 日 期 和 签名 一 样 
均 是 十 分 重要 的 防止 文件 被 伪造 和 自 改 的 关键 性 内 容 。 在 电子 交易 中 ,同样 需 对 交易 文 
件 的 日 期 和 时 间 信 息 采 取 安 全 措施 ,而 数字 时 间 戳 服务 (digital time-stamp service， 
DTS) 就 能 提供 电子 文件 发 表 时 间 的 安全 保护 。 

DTS 是 网 上 安全 服务 项 目 ,由 专门 的 机 构 提供 。 时 间 戳 (time-stamp) 是 一 个 经 加 密 
后 形成 的 凭证 文档 , 它 包 括 需 加 时 间 戳 的 文件 的 摘要 (digest)、`DTS 收 到 文件 的 日 期 时 间 
和 DTS 的 数字 签名 。 


6. 企业 实现 电子 商务 的 安全 策略 
安全 问题 是 企业 应 用 电子 商务 最 担心 的 问题 ;如何 保障 电子 商务 活动 的 安全 ,一 直 
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是 电子 商务 的 核心 研究 领域 。 作 为 一 个 安全 的 电子 商务 系统 ,必须 采用 相应 的 网 络 安全 
策略 。 安 全 策略 包括 网 络 安全 问题 的 总 原则 、 对 安全 使 用 的 要 求 以 及 如 何 保障 网 络 的 安 
全 运行 。 

1) 制定 安全 策略 时 首先 确定 的 最 重要 的 原则 

当前 一 些 电 子 商务 企业 的 安全 策略 存在 两 个 误区 : 首先 ,企业 所 采取 的 操作 系统 的 
标准 安全 策略 存在 问题 。 这 一 标准 安全 策略 只 能 提供 一 道 脆弱 的 防线 ,很 容易 被 攻破 。 
其 次 ,为 满足 多 种 安全 需求 ,许多 企业 以 零碎 的 方式 实施 节点 式 解 决 方案 ,这 虽然 对 电子 
商务 的 某 些 领域 提供 了 有 限 的 保护 ,但 同时 使 系统 管理 更 为 复杂 。 阻 止 外 来 系统 入 侵 只 
是 电子 商务 安全 的 一 个 方面 。 成 功 的 电子 商务 安全 策略 ,必须 涵盖 身份 识别 与 认证 、 隐 
私 与 欺骗 控制 ,管理 与 审计 等 传统 领域 。 

2) 安全 策略 制定 时 还 应 注意 的 问题 

吕 将 需要 保护 的 对 象 分 类 ,确定 需要 保护 的 资源 及 其 保护 级 别 。 规 定 可 以 访问 资源 
的 实体 和 可 执行 的 动作 。 规 定 审计 功能 ,记录 用 户 活动 及 资源 使 用 情况 。 

@ 系统 的 安全 应 从 物理 上 、 技 术 上 ,管理 制度 上 以 及 安全 教育 上 全 方位 采取 措施 , 相 
互 弥补 和 完善 , 尽 可 能 地 排除 安全 漏洞 。 

@ 根据 企业 的 实际 需要 确定 内 部 网 的 服务 类 型 ,规定 内 部 用 户 和 外 部 用 户 能 够 使 用 
的 服务 种 类 ,建立 网 管 站 ,并 制定 出 切实 可 行 的 安全 管理 制度 。 此 外 还 需 完善 电子 商务 
企业 内 部 安全 管理 体制 ,增强 相关 人 员 的 安全 意识 。 


习 题 5 


(1) 简 述 SMTP 协议 的 连接 和 发 送 过 程 、 路 由 过 程 。 
(2) 简 述 POP3 协议 的 工作 原理 。 

(3) 综述 电子 邮件 安全 策略 。 

(4) 简 述 Windows IIS 安全 设置 ,并 以 实例 说 明 。 
(5) 简 述 制定 Web 站 点 安全 策略 的 原则 。 

(6) 简 述 Web 服务 器 安全 漏洞 的 消除 方法 。 

(7) 简 述 企业 信息 化 建设 的 安全 隐患 。 

(8) 综述 电子 商务 的 安全 策略 。 


黑客 防范 技术 


随 着 互联 网 的 规模 不 断 扩大 以 及 人 类 社会 对 网 络 的 依赖 程度 越 来 越 大 ,在 开放 的 网 
络 环境 下 ,有 越 来 越 多 的 非法 用 户 利 用 黑客 技术 频繁 攻击 网 络 ,网络 安全 问题 日 益 突出 ， 
已 经 成 为 危害 人 们 的 日 常生 活 和 社会 发 展 的 重要 因素 。 例 如 ,远程 办 公 室 或 分 支 办公 室 
在 中 小 企业 十 分 盛行 ,在 发 达 地 区 有 40 凶 一 50 儿 的 员工 采用 上 述 工 作 形式 。 员 工 可 以 在 
公司 以 外 使 用 手机 、 智 能 电话 、 笔 记 本 计算 机 等 不 同 设备 随时 存 取 公 司 网 络 的 业务 信息 。 
黑客 可 以 伺机 破坏 ,造成 身份 盗窃 及 资料 外 泄 等 问题 。 加 上 大 部 分 中 小 企业 通常 只 会 使 
用 一 个 服务 器 作 中 枢 , 负 责 整 体 网 络 运作 ,一 旦 系统 被 和 人 侵 ,黑客 可 以 任意 盗 取 , 甚 至 更 
改 企业 重要 资料 , 令 公司 在 经 济 上 、 声 誉 上 均 蒙受 损失 。 另 外 ,目前 广泛 使 用 即时 信息 、 
社交 网 站 、 影 片 分 享 平台 等 应 用 ,会 直接 危害 企业 的 网 络 安 全 。 黑 客 会 在 上 述 网 站 内 大 
肆 搜寻 网 民 数据 ,然后 寻找 攻击 对 象 。 假 如 企业 员工 在 办 公 室 内 浏览 了 以 上 网 页 ,公司 
网 络 可 能 会 成 为 僵尸 网 络 (Bot) ,在 不 知情 的 情况 下 发 送 数 以 百 万 计 的 垃圾 电子 邮件 ,或 
是 被 植 和 键盘 记录 (Keylogger) 程 序 , 窃 取 密码 ,造成 经 济 上 的 损失 。 

因此 ,为 了 维护 计算 机 网 络 和 信息 的 安全 ,给 用 户 提供 一 个 安全 的 网 络 应 用 环境 , 需 
要 认真 研究 黑客 技术 ,分 析 黑 客人 侵 及 攻击 原理 ,以 便 寻 找 出 对 策 。 本 章 将 向 读者 介绍 
目前 黑客 经 常 采用 的 攻击 技术 以 及 防范 黑客 的 技术 手段 和 一 些 实 用 的 防范 黑客 的 常识 。 


61 黑客 概 迷 


611 黑客 类 型 


“黑客 "大体 上 应 该 分 为 “ 正 ?“ 敢 ? 两 类 ,正派 黑客 依靠 自己 掌握 的 知识 帮助 系统 管 
理 员 找 出 系统 中 的 漏洞 并 加 以 完善 ,而 邪 派 黑客 则 是 通过 各 种 黑客 技能 对 系统 进行 攻 
击 、 入 侵 或 者 做 其 他 一 些 有 害 于 网 络 的 事情 ,因为 邪 派 黑客 所 从 事 的 事情 违背 了 《黑客 守 
则 》, 所 以 他 们 真正 的 名 字 叫 “ 骇 客 ”(cracker) 而 非 “ 黑 客 ”(hacker) ,也 就 是 平时 常 听 说 的 
“黑客 ”和 “ 红 客 ”。 

黑客 通常 可 以 分 为 以 下 几 种 类 型 。 


1. 好 奇 型 
这 类 黑客 喜欢 追求 技术 上 的 精进 ,只 在 好 奇 心 驱 使 下 进行 一 些 并 无 恶意 的 攻击 ,以 
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不 正当 侵入 为 手段 找 出 网 络 漏洞 ,一 旦 发 现 了 某 些 内 部 网 络 漏洞 后 ,会 主动 向 网 络 管理 
员 指 出 或 者 干脆 帮助 修补 网 络 错误 以 防止 损失 扩大 ,使 网 络 更 趋 于 完善 和 安全 。 


2. 恶作剧 型 


这 类 黑客 的 数量 也 许 是 最 多 最 常见 的 。 他 们 冯 入 他 人 网 站 ,以 自 改 .更换 网 站 信息 
或 者 删除 该 网 站 的 全 部 内 容 , 并 在 被 攻击 的 网 站 上 公布 自己 的 绰号 ,以 便 在 技术 上 寻求 
刺激 ,炫耀 自己 的 网 络 攻击 能 力 。 


3. 隐匿 型 


这 类 黑客 喜欢 先 通过 种 种 手段 把 自己 深 深 地 隐藏 起 来 ,然后 再 以 匿名 身份 从 暗 处 实 
施主 动 网 络 攻 击 。 有 时 干脆 冒充 网 络 合法 用 户 , 通 过 正常 渠道 侵入 网 络 后 再 进行 攻击 。 
他 们 大 都 技术 高 超 , 行 踪 无 定 , 攻 击 性 比较 强 。 


4. 定时 攻击 型 


这 是 极 具 破坏 性 的 一 种 类 型 。 为 了 达到 某 种 个 人 目的 ,黑客 通过 在 网 络 上 设置 陷阱 
或 事先 在 生产 或 网 络 维护 软件 内 置 入 逻辑 炸弹 或 后 门 程序 ,在 特定 的 时 间或 特定 条 件 
下 ,根据 需要 干扰 网 络 正常 运行 或 导致 生产 线 或 网 络 完全 陷入 瘫痪 状态 。 

目前 ,黑客 的 本 质 正在 发 生 明 显 的 改变 。 他 们 已 经 从 独立 个 体 演变 为 有 共同 目标 并 
合作 出 击 的 “黑客 群 *。 而 黑客 的 目标 也 由 只 求 成 名 变 成 以 金钱 为 目标 ,这 个 转变 令 黑客 
的 行为 大 受 影响 ,以 致 他 们 不 再 以 破坏 为 主导 ,反而 利用 系统 漏洞 ,在 用 户 不 知情 之 下 ， 
盗 取 企业 机 密 、 网 上 银行 密码 等 重要 资料 。 现 在 黑客 则 主要 依靠 远程 攻击 ,一 则 针对 服 
务 器 ,寻找 对 方程 序 漏洞 ,进行 侵入 ,既而 蔓延 对 方 网 络 ; 另 一 则 是 针对 个 人 用 户 , 远 程 植 
人 木马 程序 。“ 技 术 好 的 黑客 所 用 的 木马 程序 ,都 是 定制 的 ,一 般 病毒 软件 和 防火 墙 都 不 
会 有 反应 。” 

今后 ,网 络 罪 犯 们 会 逐渐 将 重点 放 在 攻击 那些 有 可 能 获 利 丰厚 的 目标 上 ,他 们 不 大 
可 能 掀起 大 规模 网 络 病毒 攻击 的 浪潮 ,而 是 每 次 只 攻击 一 到 两 个 公司 ,但 是 相应 的 回报 
却 可 能 是 巨大 的 。 利 用 ”特洛伊 木马 ”的 计算 机 程序 来 复制 窃取 许多 国家 的 顶级 商业 公 
司 的 机 密 信息 ,已 经 变 得 越 来 越 频繁 。 定 向 木马 攻击 的 程序 编写 者 只 针对 少数 几 个 公司 
编写 和 使 用 某 种 特殊 的 木马 。 他 们 发 起 的 攻击 规模 通常 都 很 小 ,很 容易 就 躲 开 了 网 络 安 
全 公司 的 监视 ,因为 网 络 安全 公司 都 在 寻找 较 大 规模 的 攻击 。 


612 黑客 的 行为 特征 


无 论 哪 类 黑客 ,他们 最 初 的 学 习 内 容 都 将 是 本 部 分 所 涉及 的 内 容 , 而 且 掌握 的 基本 
技能 也 都 是 一 样 的 。 即 便 日 后 他 们 各 自 走 上 了 不 同 的 道路 ,但 是 所 做 的 事情 也 差不多 ， 
只 不 过 出 发 点 和 目的 不 一 样 而 已 。 黑 客 的 行为 主要 有 以 下 几 种 。 


1. 学 习 技 术 
互联 网 上 的 新 技术 一 旦 出 现 ,黑客 就 必须 立刻 学 习 , 并 用 最 短 的 时 间 掌 握 这 项 技术 ， 
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Minats sian 


这 里 所 说 的 掌握 并 不 是 一 般 的 了 解 , 而 是 阅读 有 关 的 “协议 ”(rfc) ,深入 了 解 此 技术 的 机 
理 。 否 则 一 旦 停止 学 习 , 那 么 依靠 他 以 前 掌握 的 内 容 , 并 不 能 维持 他 的 “黑客 ”身份 超过 
一 年 。 
初级 黑客 要 学 习 的 知识 是 比较 困难 的 ,因为 他 们 没有 基础 ,所 以 学 习 起 来 要 接触 非 
常 多 的 基本 内 容 , 然 而 今天 的 互联 网 给 读者 带 来 了 很 多 的 信息 ,这 就 需要 初级 学 习 者 进 
行 选择 , 太 深 的 内 容 可 能 会 给 学 习 带 来 困难 , 太 “ 花 哨 ” 的 内 容 又 对 学 习 黑 客 没 有 用 处 。 
所 以 初学 者 不 能 贪 多 ,应 该 尽量 寻找 一 本 书 适合 自己 的 完整 教材 ,循序 渐进 地 进行 学 习 。 


2. 伪装 自己 


黑客 的 一 举 一 动 都 会 被 服务 器 记录 下 来 ,所 以 黑客 必须 伪装 自己 使 得 对 方 无 法 辨别 
其 真实 身份 ,这 需要 有 熟练 的 技巧 ,用 来 伪装 自己 的 IP 地 址 、 使 用 跳板 逃避 跟踪 、 清 理 记 
录 扰 乱 对 方 线索 .巧妙 躲 开 防火 墙 等 。 

伪装 是 需要 非常 过 硬 的 基本 功 才 能 实现 的 ,这 对 于 初学 者 来 说 称 得 上 “大 成 境界 ” 
了 ,也 就 是 说 初学 者 不 可 能 用 短 时 间 学 会 伪装 ,所 以 并 不 鼓励 初学 者 利用 自己 学 习 的 知 
识 对 网 络 进行 攻击 ,否则 一 旦 自己 的 行 迹 败露 ,最终 受害 的 是 自己 。 

真正 的 黑客 ,同样 不 赞成 对 网 络 进行 攻击 ,因为 黑客 的 成 长 是 一 种 学 习 , 而 不 是 一 种 
犯罪 。 


3. 发 现 漏洞 


漏洞 对 黑客 来 说 是 最 重要 的 信息 ,黑客 要 经 常 学 习 别 人 发 现 的 漏洞 ,并 努力 自己 寻 
找 未 知 漏洞 ,并 从 海量 的 漏洞 中 寻找 有 价值 的 .可 被 利用 的 漏洞 进行 试验 ,当然 他 们 最 终 
的 目的 是 通过 漏洞 进行 破坏 或 者 修补 上 这 个 漏洞 。 

黑客 对 寻找 漏洞 的 执著 是 常人 难以 想象 的 ,他 们 的 口号 是 “打破 权威 ”从 一 次 又 一 
次 的 黑客 实践 中 ,黑客 也 用 自己 的 实际 行动 向 世人 印证 了 世界 上 没有 “不 存在 漏洞 "的 程 
序 。 在 黑客 眼中 ,所 谓 的 天衣无缝" 不 过 是 “没有 找到 ”而 已 。 


4. 利用 漏洞 


对 于 正派 黑客 来 说 ,漏洞 要 被 修补 。 对 于 邪 派 黑客 来 说 ,漏洞 要 用 来 搞 破 坏 。 而 他 
们 的 基本 前 提 是 “利用 漏洞 ”, 黑 客 利用 漏洞 可 以 做 下 面 的 事情 。 

(1) 获得 系统 信息 : 有 些 漏 洞 可 以 泄露 系统 信息 ,暴露 敏感 资料 ,从 而 进一步 和 人 侵 
系统 。 

(2) 入 侵 系 统 : 通过 漏洞 进入 系统 内 部 ,或 取得 服务 器 上 的 内 部 资料 ,或 完全 掌管 服 
务 器 。 

(3) 寻找 其 他 和 人 侵 目标 : 黑客 充分 利用 自己 已 经 掌管 的 服务 器 作为 工具 ,寻找 并 人 
侵 其 他 目标 系统 。 

(4) 做 一 些 好 事 : 正派 黑客 在 完成 上 面 的 工作 后 ,就 会 修复 漏洞 或 者 通知 系统 管理 
员 ,做 出 一 些 维护 网 络 安全 的 事情 。 

(5) 做 一 些 坏事 : 邪 派 黑客 在 完成 上 面 的 工作 后 ,会 判断 服务 器 是 否 还 有 利用 价值 。 


如 果 有 利用 价值 ,他 们 会 在 服务 器 上 植 人 木马 或 者 后 门 , 便 于 下 一 次 来 访 。 而 对 没有 利 
用 价值 的 服务 器 他 们 绝 不 留情 ,系统 崩溃 会 让 他 们 产生 无 限 的 快感 ! 

为 了 反 追 踪 和 隐身 ,现在 的 黑客 还 往往 采用 第 三 方 攻击 , 即 选取 跨 地 区 或 跨国 界 的 
第 三 方 个 人 PC 或 服务 器 作为 跳板 ,一旦 对 方 跟踪 ,几乎 不 可 能 追溯 到 攻击 的 最 终 来 源 。 

目前 还 出 现 了 越 来 越 多 的 释放 特洛伊 木马 的 自动 工具 以 及 其 他 入 侵 复杂 系统 的 工 
具 , 它 们 非常 快 地 沿 “ 食 物 链 " 升 级 。 从 取 信息 正在 成 为 木马 的 主要 目的 。 现 在 的 趋势 
是 ,病毒 开始 集中 进攻 特定 的 组 织 , 并 试图 种 木马 。 因 此 ,提高 安全 防范 意识 ,建立 起 综 
合 的 网 络 安 全 监控 防御 体系 ,及 时 下 载 操作 系统 和 应 用 程序 的 补丁 , 堵 住 存在 的 漏洞 将 
是 十 分 必要 的 。 


61.3 黑客 攻击 的 目的 


一 般 情况 下 ,黑客 的 攻击 总 有 明确 的 目的 性 。 由 于 黑客 们 成 长 的 经 历 和 生活 工作 环 
境 不 同 ,其 攻击 目标 也 会 多 种 多 样 ,但 大 臻 上 可 以 归纳 总 结 如 下 。 


1. 窃取 信息 


黑客 攻击 最 直接 的 目标 就 是 窃取 信息 。 黑 客 选取 的 攻击 目标 往往 是 重要 的 信息 和 
数据 ,在 获得 这 些 信息 与 数据 之 后 ,黑客 就 可 以 进行 各 种 犯罪 活动 。 政 府 、 军 事 、 邮 电 和 
金融 网 络 是 黑客 攻击 的 首选 目标 。 随 着 计算 机 与 网 络 技术 在 政府 .军事 .金融 .医疗 、 交 
通 及 电子 等 各 个 领域 的 广泛 应 用 ,黑客 的 各 种 破坏 活动 也 随 之 猩 狐 。 

窃取 信息 包括 破坏 信息 的 保密 性 和 完整 性 。 破 坏 信 息 的 保密 性 是 指 黑客 将 窃取 到 
的 需要 保密 的 信息 发 往 公 开 的 站 点 。 而 破坏 信息 的 完整 性 是 指 黑客 对 重要 文件 进行 修 
改 、 更 换 和 删除 ,使 得 原来 的 信息 发 生 了 变化 ,以 至 于 不 真实 或 者 错误 的 信息 给 用 户 带 来 
难以 估量 的 损失 。 


2. 获取 密码 


事实 上 ,获取 密码 也 是 窃取 信息 的 一 种 ,由 于 密码 的 特殊 性 ,所 以 单独 列 出 。 黑 客 通 
过 登录 目标 主机 ,或 使 用 网 络 监 听 程序 进行 攻击 。 监 听 到 密码 后 , 便 可 以 顺利 地 登录 到 
其 他 主机 ,或 者 去 访问 一 些 本 来 无 权 访问 的 资源 。 


3. 控制 中 间 站 点 


在 某 些 情况 下 ,黑客 登 上 目标 主机 后 ,不 是 为 了 窃取 信息 ,只 是 运行 一 些 程序 ,这 些 
程序 可 能 是 无 害 的 ,仅仅 消耗 一 些 系 统 的 处 理 时 间 。 比 如 ,黑客 为 了 攻击 一 台 主 机 ,往往 
需要 一 个 中 间 站 点 ,以 免 暴 露 自己 的 真实 所 在 。 这 样 即使 被 发 现 , 也 只 能 找到 中 间 站 点 
的 地 址 ,而 真正 的 攻击 者 可 以 隐藏 起 来 。 再 比如 ,黑客 不 能 直接 访问 某 一 严格 受 控制 的 
站 点 或 网 络 , 此 时 就 需要 一 个 具有 访问 权限 的 中 间 站 点 ,所 以 这 个 中 间 站 点 就 成 为 了 首 
先 要 攻击 的 目标 。 
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4. 获得 超级 用 户 权 限 


黑客 在 攻击 某 一 个 系统 时 ,都 企图 得 到 超级 用 户 权 限 , 这 样 就 可 以 完全 隐藏 自己 的 
行踪 ,并 可 在 系统 中 埋伏 下 方便 的 后 门 , 便 于 修改 资源 配置 ,做 任何 只 有 超级 用 户 才能 做 
的 事情 。 


614 黑客 攻击 的 过 程 


通常 ,黑客 攻击 所 采用 的 技术 和 手段 可 能 不 同 , 攻 击 目 标 也 可 能 不 同 , 但 黑客 进行 网 
络 攻 击 时 都 遵循 一 定 的 规律 ,其 过 程 大 致 是 一 样 的 ,一 般 可 以 分 为 攻击 前 奏 、 实 施 攻 击 、 
巩固 控制 .深入 攻击 和 扫除 痕迹 等 几 个 过 程 。 

从 理论 上 讲 没有 一 个 系统 是 绝对 安全 的 ,除非 这 个 系统 和 外 界 没有 任何 的 联系 , 没 
有 输入 ,也 没有 输出 。 所 有 的 攻击 是 建立 在 上 面 的 这 条 大 原则 下 的 。 只 要 系统 和 外 界 有 
交互 , 那 就 能 攻击 进去 。 如 果 存 在 系统 漏洞 的 话 ,攻击 会 变 得 更 加 简单 。 下 面 讲 一 下 攻 
击 的 大 致 步骤 和 所 用 到 的 技术 。 


1. 确定 目标 


黑客 进行 攻击 ,首先 要 确定 攻击 目标 。 比 如 , 某 个 具有 特殊 意义 的 站 点 、 某 个 有 利 可 
图 的 ISP 一 些 金融 银行 网 站 、 具 有 敌对 观点 的 宣传 站 点 或 解雇 了 黑客 的 单位 主页 等 。 


2. 收集 目标 计算 机 的 信息 


黑客 收集 欲 攻 击 的 计算 机 的 所 有 相关 信息 ,这 些 信息 包括 目标 计算 机 的 软 、 硬 件 信 
息 ( 如 操作 系统 ,用户 信息 、 驻 留 在 网 络 系统 中 的 各 个 主机 系统 的 相关 信息 等 ) ,运行 的 操 
作 系 统 信息 运行 的 应 用 程序 (服务 ?的 信息 ,目标 计算 机 所 在 网 络 的 信息 。 常 见 的 信息 收 
集 方法 包括 在 域名 及 其 注册 机 构 的 查询 ,对 公司 性 质 的 了 解 ,对 主页 进行 分 析 , 邮 件 地 址 
的 搜集 ,目标 IP 地 址 范围 查询 。 

黑客 认为 ,只 要 系统 与 Internet 连接 ,他们 就 能 够 找到 漏洞 ,因为 网 络 中 的 漏洞 太 多 
了 ,从 操作 系统 、 网 络 服务 到 网 络 协议 ,还 有 缓存 区 都 存在 漏洞 。 据 全 球 最 大 的 防 黑 客 软 
件 公司 ISS 公司 的 创始 人 Claus 说 ,目前 他 们 已 经 掌握 了 至 少 5000 多 个 漏洞 。 在 收集 到 
攻击 目标 的 相关 信息 之 后 ,黑客 分 析 探 测 网 络 上 的 每 台 主 机 ,以 寻求 该 系统 的 安全 漏洞 
和 安全 弱点 。 

信息 收集 的 目的 就 是 探 察 对 方 的 各 方面 情况 ,寻找 系统 的 安全 漏洞 , 摸 清楚 对 方 最 
薄弱 的 环节 和 守卫 最 松散 的 时 刻 , 确 定 攻击 的 时 机 ,为 下 一 步 的 入 侵 提供 良好 的 策略 , 比 
如 可 以 通过 以 下 网 络 地 址 很 方便 地 获取 目标 服务 器 的 信息 。 

中 国 互 联网 络 信息 中 心 : www. nic. com/nic_info/whois. htm、www. nic. com/cgi_ 
bin/whois. cgi。 

中 国 万 网 域名 服务 系统 : www. net. cn/domain 。 

黑客 会 利用 下 列 公 开 的 协议 或 工具 :收集 驻 留 在 网 络 系统 中 的 各 个 主机 系统 的 相关 
言 息 。 


(1) SNMP 协议 ,用 于 查阅 网 络 系统 路 由 器 的 路 由 数 , 从 而 了 解 目 标 主 机 所 在 网 络 
的 拓扑 结构 及 其 内 部 细节 。 

(2) Tracert 程序 ,用 于 获得 到 达 目 标 主机 所 要 经 过 的 网 络 数 和 路 由 器 数 。 

(3) Whois 协议 ,利用 该 协议 的 服务 信息 可 获得 所 有 有 关 DNS 域 和 相关 的 管理 
参数 。 
(4) DNS 服务 器 ,提供 了 系统 中 可 以 访问 的 主机 的 IP 地 址 表 和 它们 所 对 应 的 主 
机 名 。 

(5) Finger 协议 ,用 于 获取 一 个 指定 主机 上 的 所 有 用 户 的 详细 信息 (如 用 户 注 册 名 、 
最 后 注册 时 间 以 及 他 们 是 否 读 邮件 等 ) 。 

(6) ping 实用 程序 ,用 于 确定 一 个 指定 主机 的 位 置 。 

(7) 自动 Wardialing 软件 ,用 于 向 目标 站 点 一 次 连续 拨 出 大 批 电 话 号 码 ,直到 过 到 
某 一 正确 的 号 码 使 其 Modem 响应 。 

(8) 自 编程 序 , 如 果 某 些 产品 或 者 系统 已 经 发 现 了 一 些 安全 漏洞 ,该 产品 或 系统 的 厂 
商 或 组 织 会 提供 一 些 “ 补 丁 ? 程 序 来 弥补 。 但 是 若 用 户 没有 及 时 打上 ”补丁 ”, 黑 客 会 利用 
这 些 漏洞 来 自己 编写 程序 进入 目标 系统 。 

(9) 在 网 络 系统 中 ,为 了 帮助 系统 管理 员 发 现 其 管理 的 网 络 系统 内 部 隐藏 的 安全 漏 
洞 ,完善 系统 并 堵塞 漏洞 ,一些 网 络 公 司 编制 了 一 些 网 络 扫描 、 分 析 、 检 测 的 工具 软件 。 
黑客 也 常常 利用 这 些 工具 得 到 目标 系统 的 信息 ,获取 攻击 目标 系统 的 非法 访问 权 。 比 如 
ISS(interact security scanner) .SATAN (security analysis toolfor auditing network) 等， 
这 样 的 工具 可 以 对 整个 网 络 或 子 网 进行 扫描 ,寻找 安全 漏洞 。 这 样 的 工具 既 可 被 网 络 安 
全 管理 员 用 来 作为 检测 网 络 安全 性 的 有 力 武器 ,也 可 以 被 黑客 用 来 作为 扫描 网 络 漏洞 的 
黑客 工具 。 类 似 的 收集 信息 工具 有 Visualroute、AdvancedProperies、Smartwhois、Sam 
spade、Netscantoos 等 ,命令 行 方式 手机 信息 的 工具 有 Finger、Whois、 Nalookup、 Dig、 


Tracert、Tracerroute 等 。 
3. 寻找 目标 计算 机 的 漏洞 和 选择 合适 的 入 侵 方法 


黑客 分 析 所 得 到 的 攻击 目标 的 信息 ,找到 安全 的 漏洞 和 弱点 ,然后 选择 合适 的 攻 
击 方法 ,如 破解 密码 、 缓 存 区 溢出 攻击 ,拒绝 服务 攻击 、IP 电子 欺骗 等 ,其 目的 是 进入 系 
统 并 获得 系统 的 控制 权限 。 这 里 主要 有 两 种 方法 通过 发 现 目标 计算 机 的 漏洞 进入 系 
统 或 者 是 利用 密码 猜测 进入 系统 。 利 用 密码 猜测 就 是 试图 重复 登录 ,直到 找到 一 个 合 
法 的 登录 为 止 。 这 种 方法 往往 会 消耗 大 量 的 时 间 ,而 且 每 次 登录 不 管 是 否 成 功 都 会 在 
目标 计算 机 上 留 下 记录 ,会 引起 注意 。 另 一 个 就 是 利用 和 发 现 目标 计算 机 的 漏洞 , 直 
接 顺利 进入 。 

发 现 目标 计算 机 漏洞 的 方法 用 得 最 多 的 就 是 缓存 区 溢出 法 。 通 过 这 个 方法 ,使 得 目 
标 计算 机 以 最 高 级 别 的 权限 来 运行 攻击 者 设 定 的 后 门 程序 ,从 而 进入 系统 。 发 现 系 统 漏 
洞 的 第 二 个 方法 就 是 平时 参加 一 些 网 络 安全 列表 。 在 全 球 有 关 网 络 安全 列表 里 ,经 常 有 
最 新 发 现 的 系统 或 应 用 程序 的 漏洞 的 公告 。 然 后 根据 第 一 步 扫描 系统 得 到 的 信息 来 看 
看 是 否 有 漏洞 可 以 利用 。 
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还 有 一 些 人 侵 的 方法 是 采用 IP 地 址 欺骗 等 手段 。 它 的 原理 就 是 通过 各 种 欺骗 手 
段 , 取 得 目标 计算 机 的 信任 从 而 可 以 进入 目标 计算 机 。 

黑客 一 旦 获得 了 对 攻击 目标 系统 的 访问 权 后 ,可 以 有 以 下 多 种 选择 。 

(1) 可 能 试图 毁 掉 攻 击 入侵 的 痕迹 ,并 在 系统 中 建立 另外 的 新 的 安全 漏洞 和 后 门 , 以 
便 先前 的 攻击 点 被 发 现 后 ,继续 访问 系统 。 

(2) 可 能 在 目标 系统 中 安装 探测 器 软件 ,包括 特洛伊 木马 程序 ,用 来 窥探 所 在 系统 的 
活动 ,收集 黑客 感 兴趣 的 一 切 信 息 。 

(3) 可 能 进一步 发 现 受 损 系统 在 网 络 中 的 信任 等 级 ,然后 进一步 通过 该 中 间 系 统 展 
开 对 整个 系统 的 攻击 。 

(4) 若 黑客 在 受 损 系统 上 获得 了 特许 访问 权 , 就 可 以 读 取 邮件 .搜索 和 盗窃 私人 文件 
以 及 毁坏 重要 数据 ,从 而 破坏 整个 系统 的 信息 ,造成 不 堪 设 想 的 后 果 。 

(5) 黑客 在 攻击 得 手 后 ,往往 会 继续 在 系统 中 寻找 相关 主机 的 可 用 信息 ,从 而 攻击 其 


4. 留 下 “后 门 ” 


黑客 根据 收集 或 探测 到 的 信息 ,在 选择 合适 的 方法 后 ,黑客 就 会 侵入 到 系统 中 ,但 这 
只 是 攻击 的 前 奏 。 黑 客 如果 进 一 步 发 现 受害 系统 在 网 络 中 的 信任 等 级 ,那么 就 可 以 通过 
该 系统 信任 级 展开 对 这 个 系统 的 攻击 。 如 果 该 黑客 在 这 台 受 害 系 统 上 获得 了 特许 访问 
权 , 那 么 他 就 可 以 读 取 邮 件 、 搜 索 和 盗窃 私人 文件 .毁坏 重要 数据 ,破坏 整个 系统 的 信息 ， 
从 而 造成 不 堪 设 想 的 后 果 。 

在 侵入 目标 计算 机 后 留 下 后 门 的 目的 是 为 以 后 进入 该 系统 提供 方便 。 一 般 是 在 受 
到 侵害 的 系统 上 找到 另外 的 新 的 漏洞 或 留 下 "后 门 ”, 并 安装 探测 软件 ,其 中 包括 特洛伊 
木马 程序 ,用 来 完 测 所 在 系统 的 活动 ,收集 进一步 感 兴趣 的 信息 ,如 Telnet 和 FTP 的 用 
户 名 和 密码 等 。 它 在 系统 运行 的 同时 运行 ,而 且 能 在 系统 以 后 的 重新 启动 时 自动 运行 这 
个 程序 。 


5. 清除 入 侵 记 录 


清除 入 侵 记录 是 把 在 入 侵 系 统 时 的 各 种 登录 信息 都 删除 ,以 防 被 目标 系统 的 管理 员 
发 现 , 以 便 能 够 继续 访问 这 个 系统 。 继 续 收 集 信 息 应 该 是 入 侵 系 统 的 目的 。 采 取 的 手法 
很 多 ,例如 ,通过 sniffer 程序 来 收集 目标 系统 网 络 的 重要 数据 。 还 可 以 通过 后 门 , 即 一 个 
特洛伊 木马 程序 收集 信息 ,例如 ,发 送 一 个 文件 复制 命令 ,把 目标 计算 机 上 的 有 用 文件 复 
制 过 来 。 

由 于 入侵 的 目标 计算 机 可 能 运行 的 操作 系统 、 应 用 程序 很 多 。 因 此 ,没有 一 种 固定 
的 入 侵 方 法 。 这 往往 要 求 攻击 者 具有 丰富 的 计算 机 和 网 络 方面 的 知识 ,特别 是 需要 网 络 
编程 方面 的 知识 和 操作 系统 高 级 编程 知识 。 只 要 知道 一 些 网 络 安全 技术 方面 的 基础 知 
识 ,再 加 上 一 些 编程 知识 ,根据 不 同 的 操作 系统 ,就 能 成 功 地 实施 对 目标 计算 机 系统 的 攻 
击 了 。 


615 黑客 攻击 方式 


计算 机 黑客 对 网 络 系统 的 攻击 方法 以 及 所 使 用 的 工具 也 正 向 智能 化 网 络 化 发 展 ， 
并 已 出 现 了 一 些 利用 网 络 最 新 技术 的 智能 化 工具 软件 。 由 于 黑客 技术 在 网 上 交流 的 充 
分 性 ,我 国 黑客 应 用 的 技术 手段 ,与 国外 黑客 大 致 相同 。 按 攻击 距离 划分 ,黑客 攻击 的 方 
式 有 以 下 两 种 。 


1. 远程 攻击 


指 外 部 黑客 通过 各 种 手段 ,从 该 子 网 以 外 的 地 方向 该 子 网 或 者 该 子 网 内 的 系统 发 动 
攻击 。 远 程 攻 击 的 时 间 一 般 发 生 在 目标 系统 当地 时 间 的 晚上 或 者 凌晨 时 分 ,因为 此 时 网 
速 较 快 ,网 络 管理 也 较 松懈 ,攻击 不 容易 发 现 。 远 程 攻 击发 起 者 一 般 不 会 用 自己 的 机 器 
直接 发 动 攻击 ,而 是 通过 跳板 的 方式 ,对 目标 进行 迁 回 攻击 ,以 迷惑 系统 管理 员 , 防 止 暴 
露 真 实 身份 。 


2. 本 地 攻击 


本 地 攻击 指 本 单位 的 内 部 人 员 通 过 所 在 的 局 域 网 ,向 本 单位 的 其 他 系统 发 动 攻 击 。 
在 本 机 上 进行 非法 越权 访问 也 是 本 地 攻击 。 还 有 一 种 叫 伪 远程 攻击 , 它 是 指 内 部 人 员 为 
了 掩盖 攻击 者 的 身份 ,从 本 地 获取 目标 的 一 些 必要 信息 后 ,攻击 过 程 从 外 部 远程 发 起 , 造 
成 外 部 入 侵 的 现象 ,从 而 使 追查 者 误 认 为 攻击 者 是 来 自 外 单位 。 

另外 ,根据 黑客 对 所 攻击 系统 的 破坏 程度 ,分 为 以 下 两 类 。 

1) 主动 攻击 

这 种 攻击 以 各 种 方式 获取 攻击 目标 的 相关 信息 , 找 出 系统 漏洞 ,侵入 系统 后 ,将 会 有 
选择 地 破坏 信息 的 有 效 性 和 完整 性 ,如 邮件 炸弹 。 

2) 被 动 攻击 

这 种 攻击 是 在 不 影响 网 络 正常 工作 的 情况 下 ,进行 监听 、 和 截获, 窃取、 破译 以 获得 重 
要 机 密 信息 ,其 中 包括 窃听 和 通信 流量 分 析 。 例 如 ,利用 Sniffer Pro 网 络 监听 工具 就 可 
以 对 网 络 进行 监听 ,并 进行 协议 分 析 。 


62 网 络 攻 击 的 技术 手段 


“知己 知 彼 , 百 战 不 殖 ”, 要 想 有 效 防御 黑客 攻击 ,必须 对 敌人 的 武器 和 作战 手段 耳 熟 
能 详 。 作 为 一 个 优秀 的 网 络 安全 专家 ,除了 精通 网 络 防御 之 外 ,还 要 做 一 个 比 黑客 更 
“ 黑 ” 的 “黑客 ”。 


621 网 络 攻击 分 类 


只 要 系统 连接 到 网 络 上 ,就 有 可 能 受到 攻击 。 对 于 不 同 的 系统 ,存在 的 漏洞 不 同 , 攻 
击 的 方法 也 不 相同 。 一 般 来 讲 , 攻 击 总 是 利用 “系统 配置 的 缺陷 ” “操作 系 统 的 安全 漏 
洞 ? 或 “通信 协议 的 安全 漏洞 ?来 进行 的 。 到 目前 为 止 ,已 经 发 现 的 攻击 方式 超过 2000 
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种 ,大 概 可 以 划分 为 以 下 六 类 。 

(1) 拒绝 服务 攻击 。 一 般 情况 下 ,拒绝 服务 攻击 是 通过 使 被 攻击 对 象 的 系统 关键 资 
源 过 载 , 从 而 使 被 攻击 对 象 停止 部 分 或 全 部 服务 。 目 前 已 知 的 拒绝 服务 攻击 就 有 几 百 
种 , 它 是 最 基本 的 和 人 侵 攻击 手段 ,也 是 最 难 对 付 的 入 侵 攻 击 之 一 。 典 型 示例 有 SYN 
Flood 攻击 .ping Flood 攻击 、Land 攻击 、WinNuke 攻击 等 。 

(2) 非 授权 访问 尝试 是 攻击 者 对 被 保护 文件 进行 读 、 写 或 执行 的 尝试 ,也 包括 为 获得 
被 保护 访问 权限 所 做 的 尝试 。 

(3) 预 探测 攻击 。 在 连续 的 非 授 权 访 问 尝试 过 程 中 ,攻击 者 为 了 获得 网 络 内 部 的 信 
息 及 网 络 周围 的 信息 ,通常 使 用 这 种 攻击 尝试 。 典 型 示例 包括 SATAN 扫描 、 端 口 扫描 
和 IP 半途 扫描 等 。 

(4) 可 疑 活动 。 是 通常 定义 的 “标准 ?网 络 通信 范畴 之 外 的 活动 ,也 可 以 指 网 络 上 不 
希望 有 的 活动 ,如 IP Unknown Protocol 和 Duplicate IP Address 事件 等 。 

(5) 协议 解码 。 协 议 解 码 可 用 于 以 上 任何 一 种 非 期 望 的 方法 中 ,网 络 或 安全 管理 员 
需要 进行 解码 工作 ,并 获得 相应 的 结果 。 解 码 后 的 协议 信息 可 能 表明 期 望 的 活动 ,如 
FTU User 和 PortmapperProxy 等 解码 方式 。 

(6) 系统 代理 攻击 。 这 种 攻击 通常 是 针对 单个 主机 发 起 的 ,而 并 非 整个 网 络 , 通 过 
RealSecure 系统 代理 可 以 对 它们 进行 监视 。 

对 上 述 的 攻击 根据 攻击 的 性 质 、 严 重 程度 .攻击 目标 ,可 以 进行 不 同 的 分 类 。 按 照 攻 
击 的 性 质 ,通常 可 以 分 成 保守 型 (passive attack) 攻击 即 被 动 攻击 和 进攻 型 (aggressive 
attack) 攻 击 即 主动 攻击 。 下 面 通过 两 个 例子 来 说 明 保守 攻击 型 和 进攻 型 攻击 的 不 同 。 

例如 , 甲 是 一 个 顾客 , 乙 是 一 家 银行 , 甲 从 网 络 上 查询 信用 卡 的 余额 并 进行 转账 。 在 
进行 这 些 操作 之 前 , 甲 首先 要 输入 信用 卡 的 账号 和 密码 之 后 ,在 账号 和 密码 通过 网 络 传 
输 银行 主机 的 过 程 中 , 丙 从 网 络 上 窃取 这 些 信息 。 但 丙 并 没有 干扰 甲 的 操作 , 甲 也 不 知 
道 丙 在 窃取 他 的 信息 , 甲 按照 正常 的 操作 ,完成 他 所 要 做 的 事情 ,并 退出 了 网 络 。 这 种 不 
影响 正常 通信 的 攻击 手段 ,叫做 保守 型 攻击 , 它 影响 的 是 数据 的 保密 性 (Confidentiality) 。 
丙 可 以 利用 窃取 来 的 信息 ,伪造 另 一 张 相同 号 码 的 信用 卡 去 支付 消费 ,把 甲 的 钱 都 花 个 
精光 ,也 能 对 甲 造成 利益 上 的 损害 。 

黑客 要 进行 保守 型 攻击 ,需要 一 些 条 件 。 基 本 来 讲 , 要 能 在 物理 上 接近 数据 传输 的 
通道 。 无 论 是 溜 进 计算 机 房 、 在 键盘 上 方 装 个 针 孔 摄像 机 、 在 房间 外 安装 无 线 电 接 收 器 
接收 计算 机 辐射 出 来 的 信息 、 偷 偷 切入 电话 线 或 网 线 ,还 是 通过 无 线 电 窃听 移动 设备 。 
最 常见 的 ,应 该 是 在 数据 传输 通道 中 间 窃 取 。 如 果 信 和 号 的 传输 方式 是 按照 基带 方式 进行 
传输 的 ,窃取 这 些 数据 是 非常 方便 的 。 如 果 将 数据 进行 了 调制 ,特别 是 时 分 多 址 
(TDMA) 和 码 分 多 址 (CDMA) 方 式 复 用 ,将 数据 按 一 定 的 方式 进行 了 变换 ,窃取 数据 会 
困难 一 些 。 当 然 ,后 面 还 会 讲 到 ,利用 特洛伊 木马 程序 也 可 以 窃取 这 些 数 据 。 

最 容易 得 到 其 他 用 户 数据 的 环境 , 莫 过 于 局 域 网 了 。 众 所 周知 ,计算 机 是 通过 网 卡 
连接 到 局 域 网 的 ,目前 广泛 使 用 的 以 太 网 卡 有 固定 的 物理 地 址 ,也 叫做 MAC 地 址 ,这 个 
地 址 是 全 球 唯一 的 (有 些 网 卡 的 地 址 可 以 自己 设 定 ) 。 大 多 数 的 网 卡 都 有 两 种 工作 模式 ， 
普通 模式 和 混杂 模式 (promiscuous mode) 。 正 常情 况 下 ,网 卡 都 被 设置 在 普通 模式 , 当 
检测 到 网 络 上 有 数据 帧 到 达 时 ,网 卡通 常会 检查 数据 帧 的 目的 地 址 ,如 果 该 地 址 和 本 卡 


的 地 址 相符 ,就 向 网 络 的 上 层 传递 这 个 数据 帧 ;如 果 该 地 址 和 自己 的 地 址 不 同时 ,就 会 把 
这 个 帧 丢掉 。 当 网 卡 工作 在 混杂 模式 时 ,接口 不 再 检查 所 接收 到 的 数据 帧 的 目的 地 址 ， 
而 是 直接 把 数据 帧 接收 下 来 ,传递 给 网 络 的 上 层 。 只 要 是 完整 的 数据 帧 就 会 被 传递 上 
去 ,这 样 配置 的 所 有 用 户 只 要 能 连接 到 局 域 网 ,就 能 读 取 网 上 传输 的 数据 。 

青 来 看 另外 一 种 情况 。 假 如 丙 仿 造 了 银行 的 计算 机 系统 ,并 欺骗 了 甲 的 DNS 系统 ， 
甲 在 输入 银行 的 域名 地 址 并 开始 连接 后 , 甲 的 计算 机 没有 连接 到 真正 的 银行 计算 机 系 
统 , 而 是 连接 到 丙 的 计算 机 系统 ,两 的 计算 机 系统 接受 了 甲 传 来 的 信息 “转账 半 1000 到 另 
一 个 账户 XXXX”, 并 把 这 些 信息 变 成 “转账 兰 1000 到 另 一 账户 XXX X ,并 转账 圣 100 元 
到 丙 的 账户 XxX Xx x X”。 在 这 种 攻击 中 , 丙 恶 意 算 改 了 甲 和 乙 之 间 传 输 的 数据 ,不 但 影响 了 
数据 的 保密 性 ,而且 影响 了 数据 的 完整 性 以 及 数据 的 真实 性 ,通常 把 它 叫做 进攻 型 攻击 。 

2005 年 爆发 的 “网 络 钓鱼 ?攻击 就 是 典型 的 进攻 型 攻击 , 它 利用 欺骗 性 的 电子 邮件 和 
伪造 的 Web 站 点 来 进行 诈骗 活动 ,受骗 者 往往 会 泄露 自己 的 财务 数据 ,如 信用 卡号 、 账 
户 用 户 名 、 密 码 和 社保 编号 等 内 容 。 诈 骗 者 通常 会 将 自己 伪装 成 知名 银行 在 线 零售 商 
和 信用 卡 公司 等 可 信 的 品牌 。 在 所 有 接触 诈骗 信息 的 用 户 中 ,有 高 达 5% 的 人 都 会 对 这 
些 骗 局 做 出 响应 。 

由 此 可 以 看 到 ,这 两 种 攻击 手段 并 不 是 截然 分 开 的 。 如 果 甲 是 银行 的 网 络 管理 员 ， 
两 从 网 络 上 窃取 了 甲 的 账号 和 密码 ,甚至 窃取 了 超级 用 户 的 密码 ,他 就 可 以 利用 这 些 账 
号 和 密码 ,进入 银行 的 计算 机 系统 ,肆意 地 删除 和 算 改 数据 ,把 银行 的 资金 转 到 其 他 的 账 
户 。 然 后 ,从 这 些 账户 支取 现金 进行 消费 。 也 就 是 说 ,黑客 可 以 利用 保守 型 攻击 得 到 的 
信息 ,进行 进攻 型 攻击 。 保 守 型 攻击 成 为 进攻 型 攻击 的 基础 。 

实际 上 ,对 于 现在 的 Internet 来 讲 , 还 有 一 种 类 型 的 攻击 方式 , 既 不 破坏 数据 的 保密 
性 ,也 不 破坏 数据 的 完整 性 ,而 是 采用 各 种 手段 让 客户 机 无 法 和 服务 器 进行 连接 , 即 服务 
器 不 能 为 客户 机 提供 服务 。 这 种 攻击 方式 就 是 广 为 所 知 的 拒绝 服务 (Dial of Service) , 通 
常 简 称 为 DoS 攻击 。 

因此 ,黑客 的 攻击 造成 的 后 果 包 括 破坏 数据 的 完整 性 数据 的 保密 性 .数据 的 真实 性 
以 及 服务 器 拒绝 服务 。 可 以 总 结 一 下 ,把 攻击 方式 归 类 为 表 6-1 所 示 。 


表 6-1 黑客 攻击 的 手段 及 其 后 果 


完整 性 保密 性 真实 性 拒绝 服务 
。 网 络 窃听 
人 等 阁 民 全 包 因 | 。 效益 服务 器 信息 。 叶 完全 法 | 。 条 死 用 户 进程 
| esas 。 盗窃 客户 端 信息 司 训 会 蒜 | 。 用 假 请 求 变 炸 系统 
人 半生 三 中 | ”次 并 网络 配置 信息 。 | 。 仙 证 天 所 | ”把 硬盘 或 内 存 占 沉 
oe 。 盗窃 客户 和 服务 器 交 。 用 Dos 攻击 孤立 系统 
流 的 信息 
de 丢失 信息 错误 的 用 户 | 破坏 
| te 暴露 隐私 接收 假 信息 | 烦 入 
容易 受到 其 他 攻击 这 息 | 用 户 无 法 完成 工作 


措施 | 加 密 验 证 加 密 加 密 技 术 很 难 防止 
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622 端口 扫描 与 漏洞 攻击 


许多 网 络 人 侵 是 从 扫描 开始 的 。 利 用 扫描 工具 能 找 出 目标 主机 上 各 种 各 样 的 漏洞 
来 ,有 些 漏 洞 尽管 早已 公布 于 众 , 但 在 一 些 系统 中 仍然 存在 ,于 是 给 了 外 部 人 侵 可 乘 之 
机 。 常 用 的 短小 而 实用 的 端口 扫描 工具 是 一 种 获取 主机 信息 的 好 方法 。 在 UNIX 系统 
中 ,使 用 端口 扫描 程序 不 需要 超级 用 户 权限 ,任何 用 户 都 可 以 使 用 。 而 且 简 单 的 端口 扫 
描 程序 非常 容易 编写 ,掌握 了 初步 的 Socket 编程 知识 , 便 可 以 轻而易举 地 编写 出 能 够 在 
UNIX 和 Windows NT 下 运行 的 端口 扫描 程序 。 黑 客 们 常常 用 扫描 工具 找 出 系统 漏洞 
或 者 是 主机 信息 ,然后 展开 攻击 。 


1. 网 络 扫描 概述 


网 络 扫描 一 般 分 成 两 种 策略 ,被 动 式 策略 和 主动 式 策略 。 被 动 式 策略 是 基于 主机 之 
上 ,对 系统 中 不 合适 的 设置 .脆弱 的 密码 以 及 其 他 同安 全 规则 抵触 的 对 象 进行 检查 。 主 
动 式 策略 是 基于 网 络 , 它 通过 执行 一 些 脚本 文件 模拟 对 系统 进行 攻击 的 行为 并 记录 系统 
的 反应 ,从 而 发 现 其 中 的 漏洞 。 扫 描 的 日 的 是 利用 各 种 工具 对 攻击 日 标的 IP 地 址 或 地 
址 段 的 主机 查找 漏洞 。 扫 描 采 取 模 拟 攻 击 的 形式 对 目标 可 能 存在 的 已 知 安全 漏洞 逐 项 
进行 检查 ,目标 可 以 是 工作 站 、 服 务 器 .交换机 、 路 由 器 和 数据 库 应 用 等 。 根 据 扫描 结果 
向 扫描 者 或 管理 员 提供 周密 可 靠 的 分 析 报 告 。 

(1) 主动 策略 扫描 。 主 动 式 扫描 一 般 可 以 分 成 : 活动 主机 探测 ;ICMP 查询 ;网 络 
ping 扫描 ;端口 扫描 ;标识 UDP 和 TCP 服务 ;指定 漏洞 扫描 ;综合 扫描 等 。 

扫描 方式 可 以 分 成 两 大 类 , 慢 速 扫描 和 乱 序 扫描 。 慢 速 扫描 是 对 非 连 续 端 口 进 行 扫 
描 , 这 是 源 地 址 不 一 致 .时 间 间 隔 长 .没有 规律 的 扫描 。 乱 序 扫描 是 对 连续 的 端口 进行 扫 
描 , 这 是 源 地 址 一 致 ,时 间 间 隔 短 的 扫描 。 

(2) 被 动 扫 描 式 策略 。 被 动 式 策略 是 基于 主机 之 上 ,对 系统 中 不 合适 的 设置 .脆弱 的 
密码 以 及 与 其 他 安全 规则 相抵 触 的 对 象 进 行 检查 。 被 动 式 扫 描 不 会 对 系统 造成 破坏 ,而 
主动 式 扫描 对 系统 进行 模拟 攻击 ,可 能 会 对 系统 造成 破坏 。 


2. 扫描 方法 


1) 密码 破解 

可 以 使 用 工具 软件 GetrNTUser 来 完成 。 该 工具 可 以 在 WinNT4 以 及 Windows 
2000 操作 系统 上 使 用 ,主要 功能 包括 : 扫描 出 NT 主机 上 存在 的 用 户 名 ,自动 猜测 空 密 
码 和 与 用 户 名 相同 的 密码 ,可 以 使 用 指定 密码 字典 猜测 密码 :可 以 使 用 指定 字符 来 穷 举 
猜测 密码 。 

利用 该 工具 可 以 对 计算 机 上 用 户 进 行 密码 破解 ,首先 设置 密码 字典 ,设置 完 密 码 字 
典 以 后 ,将 会 用 密码 字典 里 的 每 一 个 密码 对 目标 用 户 进行 测试 。 

要 设置 密码 字典 , 先 选择 菜单 栏 “ 工 具 ” 下 的 菜单 项 “设置 ,设置 密码 字典 为 一 个 文 


本 文件 进行 系统 破解 。 利 用 密码 字典 中 的 密码 进行 破解 ,选择 菜单 栏 * 工 具 ” 下 的 菜单 项 
“字典 测试 ” ,程序 将 按照 字典 设置 进行 逐一 匹配 ,进行 密码 破解 。 

2) 开放 端口 扫描 

了 解 对 方 开 放 了 哪些 端口 也 是 扫描 的 重要 一 步 。 使 用 工具 软件 Portscan 可 以 了 解 
到 对 方 计算 机 都 开放 了 哪些 端口 。 

3) 共享 目录 扫描 

通过 工具 软件 Shed 来 扫描 对 方 主机 ,得 到 对 方 计算 机 提供 了 哪些 目录 共享 。 

4) 利用 TCP 协议 实现 端口 扫描 

实现 端口 扫描 的 程序 可 以 使 用 TCP 协议 和 UDP 协议 ,原理 是 利用 socket 连接 对 方 
的 计算 机 的 某 端口 ,试图 和 该 端口 建立 连接 。 如 果 建 立成 功 ,就 说 明 对 方 开 放 了 该 端口 。 
如 果 失 败 了 ,就 说 明 对 方 没 有 开放 该 端口 。 

5) 利用 X-Scan 进行 漏洞 扫描 案例 

目前 比较 典型 的 扫描 工具 有 Superscan Nmap 和 X-Scan。 

X-Scan 的 系统 要 求 为 Windows 9x/NT4/2000。 该 软件 采用 多 线程 方式 对 指定 IP 地 址 
段 (或 单机 ) 进 行 安全 漏洞 检测 ,支持 插件 功能 ,提供 了 图 形 界 面 和 命令 行 两 种 操作 方式 。 

扫描 内 容 包 括 远程 操作 系统 类 型 及 版 本 ,标准 端口 状态 及 端口 Banner 信息 ,SNMP 
信息 ,CGI 漏洞 ,IIS 漏洞 ,RPC 漏洞 ,SSL 漏洞 ,SQL Server、FTP Server、SMTP Server、 
POP3 Server .NT Server 弱 密 码 用 户 ,NT 服务 器 NETBIOS 信息 注册 表 信 息 等 。 

(1) 主 界面 

主 界 面 如 图 6-1 所 示 。 


X- 训 an v3.0 We GUI 
& 


各 置 (W) 上 QD) Language 帮助 如 
ee So 加 和 过 | 回 
普通 信息 | 漏洞 信息 | 错误 信息 | 


系统 要 求 : Windows WT4/2000/XP/2003 


二 .功能 简介 : 


采用 多 线程 方式 对 指定 IF 地 址 段 或 单机 ) 进 行 安全 漏洞 检测 ， 支 持 插件 功能 ， 提 供 了 图 形 界面 和 命令 
行 两 种 操作 方式 ， 扫 描 内 容 包括 : 远程 服务 类 型 、 操 作 系统 类 型 及 版 : 、 
务 漏洞 、 网 络 设备 漏洞 、 拒 绝 服 务 漏洞 等 二 十 几 个 大 类 。 对 于 多 数 已 知 帅 洞 ， 我 们 给 出 了 相应 的 漏洞 描 
解决 方 案 及 详细 描述 链接 ， 其它 漏洞 资料 正在 进一步 整理 完善 中 , 您 也 可 以 通过 本 站 的 "安全 文 司 


6-1 X-Scan 主 界面 


(2) 扫描 参数 


可 以 利用 该 软件 对 系统 存在 的 一 些 漏洞 进行 扫描 ,选择 设置 菜单 下 的 “扫描 模块 " 命 
令 , 如 图 6-2 所 示 。 


可 以 看 出 该 软件 可 以 对 常用 的 网 络 以 及 系统 的 漏洞 进行 全 面 的 扫描 ,选中 几 个 复 选 
框 , 单 击 “ 确 定 ” 按 钮 。 


下 面 需要 确定 要 扫描 主机 的 IP 地 址 或 者 IP 地 址 段 .选择 设置 菜单 下 的 “扫描 参数 ” 
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图 6-2 扫描 模块 设置 


命令 。 要 扫描 一 台 主 机 ,可 以 在 “指定 IP 范围 ? 框 中 输入 “172. 18. 25. 109-172. 18. 25. 
109”, 如 图 6-3 所 示 。 


图 6-3 扫描 主机 IP 地 址 设置 


(3) 漏洞 扫描 
设置 完毕 后 ,进行 漏洞 扫描 , 单 击 工具 栏 上 的 “开始 图标, 开始 对 目标 主机 进行 扫 
描 , 如 图 6-4 所 示 。 


3. 漏洞 入 侵 


由 于 宽带 越 来 越 普及 ,给 自己 的 Windows 2000 或 是 XP 装 上 简单 易学 的 IIS ,搭建 
一 个 不 定时 开放 的 FTP 或 者 Web 站 点 ,相信 是 不 少 电 脑 爱好 者 所 向 往 的 ,而 且 应 该 也 有 
很 多 人 这 样 做 了 。 但 是 IIS 层出不穷 的 漏洞 实在 令 人 担心 ,远程 攻击 者 只 要 使 用 
Webdavx3 这 个 漏洞 攻击 程序 和 telnet 命令 就 可 以 完成 一 次 对 IIS 的 远程 攻击 。 

利用 IIS 的 Webdav 漏洞 攻击 成 功 后 ,黑客 此 刻 执 行 的 任何 命令 都 是 在 被 入侵 的 机 
器 上 运行 的 。 这 个 时 候 如 果 执 行 format 命令 ,危害 就 可 想 而 知 了 ,用 net user 命令 添加 
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YX-Sc an v3.0 beta3 GUI 
件 W) 目 


219.230. 155. 10 
届 219.230.155.11 
忆 219.230.155.12 普通 信息 | | 锐 识 信息 | 
易 219.230.155.13 
由 - 思 219.230.155.14 [219 230. 155 9]: 正在 检测 ” TTF 重 定向 错误 页 面 ” 
m219 orn 155 15 二 |[219. 230. 155. 9] : 正在 检测 “CGI 漏洞 ~ 

[219_ 23n_155 71. “TTS 编 航 / 蟹 各 泌 洞 “ 拉 拉 裕 成 


账户 也 是 轻而易举 的 。 
4. 端口 攻击 


通过 扫描 得 知 被 攻击 计算 机 的 漏洞 后 ,就 可 很 容易 控制 其 攻击 对 象 了 。 比 如 ,一 般 
Windows 2000 服务 器 基本 都 有 远程 管理 服务 ,并 开启 了 3389 端口 ,利用 这 个 端口 可 以 
直接 在 远程 控制 计算 机 。 如 果 在 被 控制 的 服务 器 中 再 安装 Radmin 远程 控制 软件 ,那么 
此 软件 再 启动 后 会 监听 4899 端口 ,这 样 通过 客户 端 连接 上 服务 器 通过 密码 认证 后 就 可 
以 控制 远程 服务 器 进行 一 些 文件 操作 等 危害 性 攻击 。 


623 网 络 监听 


网 络 监听 工具 是 提供 给 管理 员 的 一 类 管理 工具 。 使 用 这 种 工具 ,可 以 监视 网 络 的 状 
态 .数据 流动 情况 以 及 网 络 传输 的 信息 。 但 是 网 络 监听 工具 也 是 黑客 们 常用 的 工具 。 当 
信息 以 明文 的 形式 在 网 络 上 传输 时 ,可 以 使 用 网 络 监听 的 方式 来 进行 攻击 。 将 网 络 接口 
设置 在 监听 模式 , 便 可 以 源源 不 断 地 将 网 上 传输 的 信息 截获 。 网 络 监 听 可 以 在 网 上 的 任 
何 一 个 位 置 实施 ,如 局 域 网 中 的 一 台 主 机 、 网 关上 或 远程 网 的 调制 解 调 器 之 间 等 。 网 络 
监听 最 有 用 的 是 获得 用 户 密码 , 当 密 码 被 截获 时 ,就 可 以 非常 容易 地 登录 另 一 台 主 机 。 


1. 网 络 监听 概述 


网 络 监听 的 目的 是 截获 通信 的 内 容 , 监 听 的 手段 是 对 协议 进行 分 析 。Sniffer Pro 就 
是 一 个 完善 的 网 络 监 听 工 具 。 

监听 器 Sniffer 的 原理 : 在 局 域 网 中 与 其 他 计算 机 进行 数据 交换 的 时 候 , 发 送 的 数据 
包 是 广播 出 去 的 ,在 报头 中 包含 目标 机 的 正确 地 址 。 因 此 ,只 有 与 数据 包 中 目标 地 址 一 
致 的 那 台 主机 才 会 接收 数据 包 , 其 他 的 机 器 都 会 将 包 丢 弃 。 但 是 ,当主 机 工作 在 监听 模 
式 下 时 ,无论 接 收 到 的 数据 包 中 目标 地 址 是 什么 ,主机 都 将 其 接收 下 来 。 然 后 对 数据 包 
进行 分 析 , 就 得 到 了 局 域 网 中 通信 的 数据 。 一 台 计算 机 可 以 监听 同一 网 段 所 有 的 数据 
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包 , 不 能 监听 不 同 网 段 的 计算 机 传输 的 信息 。 

监听 软件 除 Sniffer Pro( 后 面 将 有 详细 的 介绍 ) 以 外 ,还 有 一 些 常用 的 监听 软件 ,如 
嗅 探 经 典 Iris、 密 码 监 听 工 具 Win Sniffer、 密 码 监听 工具 Pswmonitor 和 非 变 换 环境 局 域 
网 的 fssniffer 等 。 


2. 网 络 监听 案例 


1) 利用 Win Sniffer 监听 密码 

Win Sniffer 专门 用 来 截取 局 域 网 内 的 密码 ,比如 登录 FTP、 登 录 E-mail 等 的 密码 。 

(1) 设置 

只 要 做 简单 的 设置 就 可 以 进行 密码 抓 取 了 , 单 击 工 具 栏 Adapter 图 标 , 设 置 网 卡 ,这 
里 设置 为 本 机 的 物理 网 卡 就 可 以 。 

(2) 抓 取 密 码 

打开 Win Sniffer, 可 以 看 到 的 网 络 中 的 通信 会 话 过 程 已 经 被 记录 下 来 ,并 且 显 示 了 
会 话 的 一 些 基 本 信息 ,从 中 可 以 抓 取 到 相关 网 络 应 用 的 用 户 名 和 密码 。 

2) 利用 Pswmonitor 监听 信箱 密码 

监听 器 Pswmonitor 用 于 监听 基于 Web 的 邮箱 密码 .POP3 收 信 密 码 和 FTP 登录 密 
码 等 。 只 需 在 一 台 计算 机 上 运行 ,就 可 以 监听 局 域 网 内 任意 一 台 计 算 机 登录 的 用 户 名 和 
密码 ,并 将 密码 显示 、 保 存 ,或 发 送 到 用 户 指定 的 邮箱 。 

该 工具 软件 功能 比较 强大 ,可 以 监听 一 个 网 段 所 有 的 用 户 名 和 密码 ,而 且 还 可 以 指 
定 发 送 的 邮箱 。 


624 密码 攻击 


密码 攻击 是 最 古老 的 网 络 攻 击 方式 , 它 是 通过 使 用 工具 获取 用 户 的 账户 和 密码 、 利 
用 用 户 的 弱 密 码 或 者 空 密 码 对 计算 机 实施 攻击 。 


1. 获取 密码 实施 攻击 


获取 密码 的 方式 有 三 种 。 

1) 默认 的 登录 界面 攻击 法 

在 被 攻击 主机 上 启动 一 个 可 执行 程序 ,该 程序 显示 一 个 伪造 的 登录 界面 。 当 用 户 在 
这 个 伪装 的 界面 上 键入 登录 信息 (用 户 名 、 密 码 等 ) 后 ,程序 将 用 户 输入 的 信息 传送 到 攻 
击 者 主机 ,然后 关闭 界面 给 出 提示 信息 "系统 故障 ”, 要 求 用 户 重 新 登录 。 此 后 , 才 会 出 现 
真正 的 登录 界面 。 

2) 通过 网 络 监听 非法 得 到 用 户 密码 

这 类 方法 有 一 定 的 局 限 性 ,但 危害 性 极 大 ,监听 者 往往 能 够 获得 其 所 在 网 段 的 所 有 
用 户 的 账号 和 密码 ,对 局 域 网 安全 威胁 巨大 。 

3) 利用 软件 强行 破解 用 户 密码 

在 知道 用 户 的 账号 后 (如 电子 邮件 *@”? 前 面 的 部 分 ) ,利用 一 些 专门 软件 强行 破解 用 
户 密 码 ,这 种 方法 不 受 网 段 限制 ,但 黑客 要 有 足够 的 耐心 和 时 间 。 对 安全 系数 较 高 的 密 


码 破解 往往 需要 很 长 时 间 , 但 对 那些 密码 安全 系数 极 低 的 用 户 ( 如 某 用 户 账 号 为 
zhanmin, 其 密码 就 是 zhanaim123 .minzhan, 或 者 1234567、88888888 等 ) 只 要 短 短 的 一 两 
分 钟 ,甚至 几 十 秒 内 就 可 以 将 其 破解 。 

在 获取 用 户 的 账户 和 密码 后 ,就 可 以 对 其 实施 攻击 了 。 比 如 利用 拥有 某 IP 的 用 户 
名 和 密码 ,做 IPC$ 入 侵 。IPC$ 即 Internet Process Connection, 是 共享 “命名 管道 ”的 资 
源 。 它 是 为 了 让 进程 间 通 信和 而 开放 的 命名 管道 ,可 以 通过 验证 用 户 名 和 密码 获得 相应 的 
权限 ,在 与 远程 管理 计算 机 的 共享 资源 时 使 用 。 


2. 利用 弱 密 码 的 入 侵 


弱 密 码 是 指 没 有 实际 效力 的 密码 ,只 需 简 单方 法 就 可 非法 获取 ,可 利用 流光 4.7 这 
个 软件 (该 版 本 要 打 IP 补丁 ,不 然 不 可 扫 国 内 IP 主机 )。 下 面 是 利用 SQL 的 sa 账户 空 
密码 入 侵 实例 。 

在 Windows 2000 机 器 上 装 了 MSSQL 的 话 , 机 器 就 会 打开 1433 端口 。 如 果 
MSSQL 是 默认 安装 的 话 , 用 户 名 是 sa, 密 码 是 空 的 ,那么 就 可 以 用 SuperSQLEXEC. exe 
连接 上 去 。 

用 SuperSQLEXEC 连接 成 功 , 如 图 6-5 所 示 。 


六 SuperSQLEXEC olxl 

: [so seve 70 加 | 坟 
[1433 用 加 引 攻 订 模 式 访问 太 是 否 为 管理 员 账号 

用 户 名 : [3 密码 : Cw 

连接 超时 : [saa 习 命令 执行 雪 时 : www Yenuatech com cn 

加 

pe 

1 3 


图 6-5 SuperSQLEXEC 界面 


在 命令 行 中 输入 : 


net user guest /active:yes 

The command ccmpleted sucoessfully 人 > 指 已 经 被 攻击 的 计算 机 回 显 , 下 同 ) 
net user guest 123456 

> The cormand completeqd sucoessfully 

net localgroup administrators guest /add 

> The cormand opleted sucoessfully. 


这 几 个 命令 做 完 后 ,就 将 guest 用 户 激活 ,密码 设 为 123456, 并 提升 为 admin。 


625 后 门 攻击 (特洛伊 木马 ) 


特洛伊 木马 是 一 些 表面 有 用 的 软件 程序 ,实际 目的 是 危害 计算 机 安全 性 并 破坏 计算 
机 。 最 近 的 特洛伊 木马 都 以 电子 邮件 的 形式 传播 ,邮件 的 附件 一 般 声 称 是 Microsoft 安 
全 更 新 程序 ,但 实际 上 是 一 些 试图 禁用 防 病毒 软件 和 防火 墙 软件 的 病毒 。 
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1. 特洛伊 木马 程序 的 发 作 表现 及 其 发 展 历史 


如 果 用 户 计算 机 中 了 木马 ,那么 发 作 时 的 情况 多 种 多 样 ,常见 表现 如 下 。 

(1) 计算 机 有 时 死机 ,有 时 又 重新 启动 。 

(2) 莫名 其 妙 地 读 写 硬 盘 或 软驱 、 光 驱 莫名 其 妙 地 开 仓 。 

(3) 用 户 并 没有 运行 大 的 程序 ,系统 速度 变 慢 ,系统 资源 占用 变 多 。 

(4) 任务 管理 器 中 出 现 一 个 陌生 而 奇怪 的 进程 名 ,它们 明显 不 应 该 出 现在 这 里 。 

出 现 了 上 述 现象 ,说 明 用 户 计算 机 有 可 能 中 了 木马 ,当然 也 有 可 能 是 其 他 病毒 在 作 
怪 。 特 洛 伊 木马 具有 隐蔽 性 ,这 是 木马 程序 的 一 大 特点 ,同时 也 是 它 与 远程 控制 类 软件 
(如 Windows 自 带 的 “远程 桌面 连接 ”) 的 主要 区 别 。 

特洛伊 木马 程序 发 展 至 今 ,已 经 经 历 了 4 代 。 

(1) 第 一 代 木 马 , 即 简单 的 密码 窃取 ,发送 等 。 

(2) 第 二 代 木 马 在 技术 上 有 了 很 大 的 进步 “冰河 ?是 典型 代表 之 一 。 

(3) 第 三 代 木 马 在 数据 传输 技术 上 做 了 不 小 的 改进 ,出 现 了 ICMP 等 类 型 的 木马 , 利 
用 畸形 报 文 传递 教 据 ,增加 了 查 杀 的 难度 。 

(4) 第 四 代 木 马 在 进程 隐藏 方面 做 了 大 的 改动 ,采用 了 内 核 插入 式 的 嵌入 方式 ,利用 
远程 插入 线程 技术 ,嵌入 DLL 线程 ,或 者 挂 接 PSAPI, 实 现 木 马 程序 的 隐藏 。 


2. 特洛伊 木马 类 型 


特洛伊 木马 主要 分 为 5 大 类 。 

1) 远程 访问 型 

这 种 程序 的 目的 就 是 访问 受害 者 的 硬盘 .做 一 些 受害 者 可 以 做 的 事 , 找 一 些 自己 想 
要 的 东西 。 

2) 毁坏 型 

这 种 类 型 的 程序 非常 危险 , 它 可 以 将 用 户 硬 盘 上 的 所 有 文件 删除 。 

3) 键盘 记录 型 

记录 用 户 的 键盘 敲 击 ,并 在 Log 文件 中 查找 密码 。 

4) 密码 发 送 型 

木马 程序 找到 系统 中 的 隐藏 密码 ,将 它 发 送 到 指定 的 信箱 中 。 

5) FTP 型 

木马 程序 打开 所 在 计算 机 的 FTP 端口 ,使 他 人 可 以 跳 过 密码 上 传 或 下 载 。 


3. 特洛伊 木马 技术 原理 


特洛伊 木马 是 一 种 基于 C/S 架构 的 网 络 通信 软件 ,一般 情 况 下 可 分 为 客户 端 程序 和 
服务 器 端 程序 两 部 分 ,其 中 服务 器 端 在 目标 计算 机 上 驻 留 ,客户 端 被 控制 者 操纵 。 通 常 
情况 下 ,由 客户 端 程序 通过 某 种 方法 ,主动 与 服务 器 端 程序 连接 并 建立 通信 关系 ,对 目标 
计算 机 进行 操纵 。 现 在 比较 流行 的 “反弹 端口 的 木马 ,由 服务 器 端 主动 向 客户 端 发 出 建 
立 连接 的 请 求 并 建立 通信 关系 。 著 名 的 木马 * 灰 铝 子 ?就 采用 了 这 种 技术 。 
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特洛伊 木马 可 以 通过 多 种 方法 与 特定 的 程序 进行 关联 , 当 目标 计算 机 系统 启动 后 ， 
如 果 用 户 不 幸 打开 了 被 木马 用 来 关联 的 程序 , 则 木马 的 服务 器 端 程序 将 被 激活 ,并 开始 
打开 端口 ,建立 与 远程 对 应 的 客户 端 程序 的 通信 。 通 过 打开 的 端口 ,服务 器 端 程序 对 目 
标 计算 机 进行 未 授权 的 侦 听 。 在 侦 听 过 程 中 , 它 可 接收 并 执行 来 自 客 户 端的 指令 ,诸如 
删除 文件 .重启 计算 机 等 非法 操作 ,并 将 目标 计算 机 的 一 些 秘密 信息 送 往 客户 端 。 

可 见 ,特洛伊 木马 对 网 络 上 的 计算 机 的 安全 性 和 信息 的 秘密 性 构成 了 极 大 的 威胁 。 
计算 机 一 旦 被 植 人 木马 ,攻击 者 便 可 进行 远程 控制 ,目标 计算 机 将 毫 无 安全 和 秘密 可 言 。 


4. 特洛伊 木马 的 植 入 技术 


特洛伊 木马 植 人 技术 ,是 指 利用 各 种 途径 把 木马 的 服务 器 端 植 和 人 目标 机 器 的 方法 。 
传统 木马 的 植 入 主要 靠 伪 装 欺 骗 ,也 就 是 更 改 木 马 服务 器 端 程序 文件 的 后 级 名 和 图 标 ， 
将 其 伪装 成 一 个 有 用 的 程序 文本 文件 或 多 媒体 文件 等 ,然后 通过 以 下 几 种 方式 植 入 。 

(1) 利用 电子 邮件 的 附件 ,并 在 受骗 用 户 点 击 相应 藏 有 木马 程序 的 文件 图 标 时 自动 
完成 木马 的 植 入 。 

(2) 通过 即时 通信 软件 ,如 QQ、MSN 等 ,向 目标 机 器 传送 文件 ,并 在 受骗 用 户 接 收 
藏 有 木马 程序 的 文件 时 自动 完成 木马 的 植 入 。 

(3) 在 网 站 上 提供 软件 下 载 的 链接 供用 户 下 载 软件 ,其 实用 户 下 载 的 是 伪装 的 木马 
程序 。 一 旦 用 户 下 载 并 完成 安装 , 则 木马 就 悄然 植 和 人。 

(4) 做 成 BT 种 子 文件 ,在 用 户 用 BT 软件 下 载 文件 时 植 入。 

木马 除了 具有 远程 控制 工具 的 功能 外 ,通常 还 具有 隐藏 性 .秘密 性 、 破 坏 性 等 特点 。 
木马 就 如 同 你 肩膀 后 的 一 双眼 睛 , 它 盯 着 你 输入 账号 密码 。 在 用 户 访问 真实 的 银行 网 站 
之 前 它 一 直 处 于 休眠 状态 ,而 用 户 访问 相关 网 站 时 便 会 激活 它 , 并 对 登录 过 程 进 行 秘密 
监控 。 

利用 木马 达到 控制 主机 目的 的 入侵 造成 的 损失 最 为 严重 。 而 黑客 就 是 通过 种 植 服 
务 器 木马 达到 长 期 控制 主机 的 入 侵 目的 。 所 以 说 ,如 何 防 黑客 入 侵 其 实 就 是 如 何 预 防 黑 
客 种 植木 马 和 如 何 查 杀 木 马 。 


626 拒绝 服务 攻击 


拒绝 服务 攻击 是 指 一 个 用 户 占据 了 大 量 的 共享 资源 ,使 系统 没有 剩余 的 资源 给 其 他 
用 户 可 用 的 攻击 。 它 主要 用 来 攻击 域名 服务 器 .路 由 器 以 及 其 他 网 络 服务 ,使 被 攻击 者 
无 法 提供 对 网 络 的 服务 。 


1. 攻击 方式 


1) 服务 过 载 

当 大 量 的 服务 请 求 发 向 一 台 计 算 机 中 的 服务 进程 时 ,就 会 发 生 服务 过 载 。 在 分 时 机 
制 中 ,这 些 潮水 般 的 请 求 使 得 计算 机 十 分 忙碌 地 处 理 这 些 不 断 到 来 的 服务 请 求 ,以 至 于 
无 法 处 理 常规 的 任务 。 同 时 ,许多 新 到 来 的 请 求 被 丢弃 ,因为 没有 空间 来 存放 这 些 请 求 。 
如 果 攻 击 的 是 同一 个 基于 TCP 协议 的 服务 ,那么 这 些 请 求 的 包 还 会 被 重 发 ,结果 更 加 重 
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了 网 络 的 负担 。 这 种 攻击 方式 会 阻止 系统 提供 特定 的 服务 。 

2) 消息 流 

消息 流 发 生 于 用 户 向 一 台 网 络 上 的 目标 主机 发 送 大 量 的 数据 包 , 来 延缓 目标 主机 的 
处 理 速 度 , 阻 止 它 处 理 正常 的 任务 这 种 情况 。 这 些 请 求 可 能 是 请 求 文件 服务 、 要 求 登录 
或 者 仅仅 是 简单 的 要 求 响应 包 ( 如 ping)。 无 论 是 什么 形式 ,这 些 潮水 般 的 服务 请 求 ,加 
重 了 目标 主机 的 处 理 器 负载 ,使 目标 主机 消耗 了 大 量 的 资源 来 响应 这 些 请 求 。 这 种 攻击 
可 以 引起 目标 主机 因为 没有 内 存 来 做 缓冲 以 存放 到 来 的 请 求 ,或 者 因为 其 他 错误 而 死 
机 。 这 种 拒绝 服务 的 攻击 主要 针对 网 络 服务 器 。 

3) 信号 接地 

这 种 方法 是 一 种 物理 方法 .将 网 络 的 电缆 接地 .引入 一 些 其 他 信号 或 者 将 以 太 网 上 
的 端 接 器 拿 走 ,都 可 以 有 效 地 阻止 客户 发 送 或 者 接收 消息 。 这 种 攻击 方式 不 仅 可 以 阻止 
那些 依赖 服务 器 提供 程序 和 资源 的 各 种 机 器 ,也 可 以 阻止 向 主 服务 器 汇报 错误 的 登录 请 
求 或 者 危险 的 行动 ,来 掩盖 一 次 非法 访问 的 企图 。 

4) DDoS 攻击 

DDoS 由 DoS 攻击 演变 而 来 ,这 种 攻击 是 黑客 利用 在 已 经 侵入 并 已 被 控制 (可 能 是 
数 百 ,甚至 成 千 上 万 台 ) 的 机 器 上 安装 DoS 服务 程序 ,这 些 被 控制 机 器 即 是 所 谓 的 “ 倪 储 
计算 机 ”(zombie)。 它 们 等 待 来 自 中央 攻 击 控制 中 心 的 命令 。 中 央 攻 击 控制 中 心 在 适时 
启动 全 体 受 控 主机 的 DoS 服务 进程 ,让 它们 对 一 个 特定 目标 发 送 尽 可 能 多 的 网 络 访问 请 
求 , 形 成 一 股 DoS 洪流 冲击 目标 系统 ,猛烈 的 DoS 攻击 同一 个 网 站 。DDoS 攻击 原理 如 
图 6-6 所 示 。 目 前 ,攻击 者 最 常用 的 DDoS 攻击 工具 有 四 种 : Trinoo、TFN、TFN2 和 
Stacheldraht 。 


攻击 者 


2. 攻击 方法 


1) Land 攻击 
攻击 特征 : 用 于 Land 攻击 的 数据 包 中 的 源 地 址 和 目标 地 址 是 相同 的 ,因为 当 操 作 
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系统 接收 到 这 类 数据 包 时 ,不 知道 该 如 何 处 理 堆 栈 中 通信 源 地 址 和 目的 地 址 相同 的 这 种 
情况 ,或 者 循环 发 送 和 接收 该 数据 包 。 消 耗 大 量 的 系统 资源 ,从 而 有 可 能 造成 系统 崩溃 
或 死机 等 现象 。 

检测 方法 : 判断 网 络 数据 包 的 源 地 址 和 目标 地 址 是 否 相同 。 

反攻 击 方法 : 适当 配置 防火 墙 设备 或 过 滤 路 由 器 的 过 滤 规 则 就 可 以 防止 这 种 攻击 行 
为 ,并 对 这 种 攻击 进行 记录 (记录 事件 发 生 的 时 间 以 及 源 主 机 和 目标 主机 的 MAC 地 址 和 
IP 地 址 ) 。 

2) Package Flood 攻击 

攻击 特征 : 它 是 利用 TCP 客户 机 与 服务 器 之 间 三 向 沟通 过 程 的 缺陷 来 进行 的 。 常 
见 的 Package Flood 有 3 种 : SYN Flood ICMP Flood、UDP Flood。 这 三 种 技术 的 实现 
方法 是 类 似 的 ,攻击 者 通过 伪造 源 IP 地 址 向 被 攻击 者 发 送 大 量 的 请 求 , 当 被 攻击 主机 接 
收 到 大 量 的 请 求 时 ,需要 使 用 大 量 的 缓存 来 处 理 这 些 连 接 , 并 将 这 些 请 求 发 送 回 错误 的 
IP 地 址 ,并 一 直 等 待 回应 ,最 终 导致 缓存 用 完 , 不 能 再 处 理 其 他 合法 的 请 求 连接 ,导致 不 
能 对 外 提供 正常 服务 。 

如 图 6-7 所 示 ,攻击 者 的 IP 地 址 为 221. 19. 30.4, 目 标 主 机 的 IP 地 址 为 202. 190. 12. 3。 
首先 攻击 者 将 其 IP 地 址 伪装 成 202. 11. 3.4, 然 后 不 断 向 目标 主机 发 送 ICMP echo 请 求 。 
目标 主机 在 收 到 请 求 后 建立 缓存 以 保存 这 次 会 话 , 并 向 请 求 地 址 202. 11. 3.4 发 送 SYS/ 
ACK 响应 ,等待 主机 202. 11. 3. 4 的 下 一 个 确认 。 实 际 上 ,这 种 确认 是 等 不 到 的 。 这 就 
会 造成 202. 190. 12. 3 这 台 主 机 消耗 大 量 的 内 存 , 最 终 导 致 其 不 再 有 能 力 接收 其 他 服务 
请 求 甚至 崩溃 。 


Source Packet(1) 


SA: 202.11.3.4 SPORT: TCP>1024| TCP Flag(s)SYS |Application 
DA: 202.190.12.3 DPORT: TCP 80| Seq#123456 Data(0) 


IP Header TCP Header 
Source Packet(2) 


SA: 202.11.3.4 SPORT: TCP>1024| TCP Flag(s)SYS |Application 
DA: 202.190.12.3 DPORT: TCP 80| Seq#123456 Data(0) 


IP Header TCP Header 
Source Packet(3) … 


服务 器 缓存 
SYS RCVD(202.11.3.4) 
SYS RCVD(202.11.3.4) 
SYS RCVD(202.11.3.4) 


服务 器 - 
202.190.12.3 黑 
221.19.30.4 
6-7 SYS Plood 攻击 原理 


检测 方法 : 检查 单位 时 间 内 收 到 的 SYN 连接 是 否 超过 系统 设 定 的 值 。 

反攻 击 方法 : 当 接 收 到 大 量 的 SYN 数据 包 时 ,通知 防火 墙 阻 断 连接 请 求 或 丢弃 这 些 
数据 包 , 并 进行 系统 审计 。 

3) ping of Death 攻击 

攻击 特征 : 该 攻击 数据 包 大 于 65 535 个 字 节 。 由 于 部 分 操作 系统 接收 到 长 度 大 于 
65 535 个 字 节 的 数据 包 时 ,就 会 造成 内 存 溢出 、 系 统 崩 溃 、 重 启 、 内 核 失败 等 后 果 , 从 而 达 
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到 攻击 的 目的 。 

检测 方法 : 判断 数据 包 的 大 小 是 否 大 于 65 535 个 字 节 。 

反攻 击 方法 : 使 用 新 的 补丁 程序 , 当 收 到 大 于 65 535 个 字 节 的 数据 包 时 ,丢弃 该 数 
据 包 ,并 进行 系统 审计 。 

4) winNuke 攻击 

攻击 特征 : winNuke 攻击 又 称 带 外 传输 攻击 。 它 的 特征 是 攻击 目标 端口 ,被 攻击 的 
目标 端口 通常 是 139、138、137、113、53, 而 且 URG 位 设 为 1, 即 紧急 模式 。 

检测 方法 : 判断 数据 包 目 标 端口 是 否 为 139、138、137 等 ,并 判断 URG 位 是 否 为 1 。 

反攻 击 方法 : 适当 配置 防火 墙 设 备 或 过 滤 路 由 器 就 可 以 防止 这 种 攻击 手段 (丢弃 该 
数据 包 ) ,并 对 这 种 攻击 进行 审计 (记录 事件 发 生 的 时 间 以 及 源 主 机 和 目标 主机 的 MAC 
地 址 和 IP 地址 MAC) 。 

5) Teardrop 攻击 

攻击 特征 : Teardrop 是 基于 UDP 的 病态 分 片 数 据 包 的 攻击 方法 。 其 工作 原理 是 向 
被 攻击 者 发 送 多 个 分 片 的 IP 包 (IP 分 片 数据 包 中 包括 该 分 片 数据 包 属 于 哪个 数据 包 以 
及 在 数据 包 中 的 位 置 等 信息 )。 某 些 操 作 系 统 收 到 含有 重 释 偏 移 的 伪造 分 片 数 据 包 时 将 
会 出 现 系统 崩 演 、 重 启 等 现象 。 

检测 方法 : 对 接收 到 的 分 片 数 据 包 进行 分 析 , 计 算数 据 包 的 片 偏 移 量 (Offset) 是 否 
有 误 。 

反攻 击 方法 : 添加 系统 补丁 程序 ,丢弃 收 到 的 病态 分 片 数据 包 并 对 这 种 攻击 进行 
审计 。 

6) Smurf 攻击 

Smurf 攻击 是 以 最 初 发 动 这 种 攻击 的 程序 名 Smurf 来 命名 。 这 种 攻击 方法 结合 使 
用 了 IP 欺骗 和 ICMP 回复 方法 ,使 大 量 网 络 传输 充斥 目标 系统 ,引起 目标 系统 拒绝 为 正 
常 系统 进行 服务 。 

攻击 特征 : 攻击 者 向 一 个 具有 大 量 主机 和 Internet 连接 的 网 络 的 广播 地 址 发 送 一 个 
欺骗 性 ping 分 组 (echo 请 求 ) ,这 个 目标 网 络 被 称 为 反弹 站 点 ,而 欺骗 性 ping 分 组 的 源 地 
址 就 是 攻击 者 希望 攻击 的 系统 。 

这 种 攻击 的 前 提 是 ,假设 目标 网 络 的 地 址 是 216. 131. 83. 2 ,攻击 者 先 将 其 IP 伪装 成 
216. 131. 83.2, 然 后 向 一 系列 中 间 网 络 的 广播 地 址 (如 211. 195. 83. 255) 发 送 大 量 的 
ICMP echo 请 求 包 ,路 由 器 接收 到 这 个 发 送 给 IP 广播 地 址 的 分 组 后 ,会 认为 这 就 是 广播 
分 组 ,并 且 把 以 太 网 广播 地 址 FF:FF:FF:FF:FF:FF 映射 过 来 。 这 样 路 由 器 从 Internet 
上 接收 到 该 分 组 ,会 对 本 地 网 段 中 的 所 有 主机 进行 广播 。 网 段 中 的 所 有 主机 都 会 向 欺骗 
性 分 组 的 IP 地 址 发 送 ICMP echo 响应 信息 。 如 果 这 是 一 个 很 大 的 以 太 网 段 , 可 以 有 
500 个 以 上 的 主机 对 收 到 的 echo 请 求 进行 回复 。 其 攻击 原理 如 图 6-8 所 示 。 

由 于 多 数 系统 都 会 尽快 地 处 理 ICMP 传输 信息 ,攻击 者 把 分 组 的 源 地 址 设置 为 目标 
系统 ,因此 ,目标 系统 都 很 快 就 会 被 大 量 的 echo 信息 吞没 .这样 轻而易举 地 就 能 够 阻止 该 
系统 处 理 其 他 任何 网 络 传输 ,从 而 引起 拒绝 为 正常 系统 服务 。 

检测 方法 : 有 超过 5 个 icmp echo replies 在 很 短 时 间 内 出 现 。 


黑客 ICMP echo 
目标 网 络 马 早出 中 间 主 机 
216.131.83.2 中 同 主机 = 
“ee (f 上 ICMP echo 请 求 
中 间 主 机 


黑客 


图 6-8 ”Smurf 攻击 原理 


反攻 击 方法 : 用 户 可 以 分 别 在 源 站 点 ` 反 弹 站 点 和 目标 站 点 三 个 方面 采取 步骤 ,以 限 
制 Smurf 攻击 的 影响 。 阻 塞 Smurf 攻击 的 源头 ,用 户 可 以 使 用 路 由 器 的 访问 保证 内 部 网 
络 中 发 出 的 所 有 传输 信息 都 具有 合法 的 源 地 址 。 阻 塞 Smurf 的 反弹 站 点 ,用 户 使 用 路 由 
器 要 将 自己 的 路 由 器 把 网 络 广播 地 址 映射 成 为 LAN 广播 地 址 。 防 止 Smurf 攻击 目标 站 
点 ,将 本 网 段 所 有 路 由 器 上 的 IP 的 广播 功能 禁止 。 


627 病毒 与 蠕虫 攻击 


伴随 计算 机 应 用 不 断 广泛 发 展 而 诞生 的 计算 机 病毒 ,已 经 随 着 互联 网 的 发 展 而 成 为 
网 络 安全 最 具 威 胁 的 要 素 之 一 。 如 今 的 病毒 已 经 不 仅仅 是 感染 本 地 计算 机 ,也 可 以 像 
“蠕虫” 一 样 通过 网 络 传播 。 许 多 “蠕虫 病毒 "也 像 “ 特 洛 伊 木马 "一样, 欺骗 用 户 打 开 或 执 
行 恶 意 代 码 , 甚 至 也 可 以 在 它们 攻破 的 系统 中 打开 “后 门 ” 或 设置 “远程 访问 ”, 而 网 络 上 
经 常 出 现 的 病毒 也 由 一 般 的 传统 病毒 感染 变 为 蠕虫 攻击 . 像 “ 库 尔 尼 科 娃 ”蠕虫 、Worm. 
Zush、 能 猫 烧香 、MSN 性 感 相 册 、911 病毒 ,game. exe、PDSched. exe、 冲 击 波 .武汉 男生 病 
毒 .蠕虫 、 爱 虫 病毒 、 灰 背 华 、 小 浩 病毒 .Worm/P2P. SpyBot. ht、 思 大 变种 下、 冲击波 杀手 
变种 下 、Win32. WantJob、 威 金 蜂 虫 变种 RC、Worm. DIOnlineGames. a、JAMMER2ND- 
JAMMER2ND. EXE、wnilogon-wnilogon. exe、 费 氏 (Worm。Fizzer) 求 职 信 变种 病毒 、 
“口令 蠕虫 "病毒 “爱丽 兹 "病毒 .SQLSlammer 病毒 等 。 因 此 ,目前 病毒 已 经 从 单一 的 感 
染 破 坏 本 地 计算 机 发 展 到 病毒 和 黑客 的 复合 体 . 具 有 破坏 本 地 和 攻击 远程 计算 机 系统 的 
性 质 。 十 年 来 积累 的 令 人 信服 的 数据 清楚 地 表明 ,病毒 问题 没有 衰退 的 迹象 ,而 新 的 垃 
圾 邮件 、 网 络 钓鱼 、 恶 意 软 件 欺诈 则 利用 很 多 先进 的 病毒 技术 不 断 自我 进化 。 鉴 于 有 关 
计算 机 网 络 安全 的 书籍 介绍 病毒 方面 的 内 容 已 经 很 多 ,本 节 将 主要 介绍 近年 来 有 关 蠕 虫 
攻击 方面 的 内 容 。 


1. 网 络 蠕虫 的 定义 


蠕虫 本 来 是 个 生物 学 名 词 ,1982 年 ,Xerox PARC 的 John Shoch 等 人 把 它 引 入 计算 
机 领域 。 自 1988 年 出 现 后 到 现在 人 们 对 它 的 认识 越 来 越 活 ,网 络 蠕虫 的 定义 也 日 趋 完 
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善 。 目 前 , 较 能 全 面 反映 网 络 蠕虫 本 质 的 定义 之 一 是 由 我 国 郑 辉 提出 的 版 本 :“ 网 络 蠕虫 
是 无 须 计 算 机 使 用 者 干预 即 可 运行 的 独立 程序 , 它 通 过 不 停 地 获得 网 络 中 存在 漏洞 的 计 
算 机 上 的 部 分 或 全 部 控制 权 来 进行 传播 >。 这 个 定义 突出 了 网 络 蠕虫 的 主动 性 , 即 网 络 
蠕虫 的 传播 与 计算 机 使 用 者 无 关 , 计 算 机 系统 存在 漏洞 是 网 络 蠕虫 实现 攻击 目标 的 
前 提 。 

蠕虫 有 主机 蠕虫 与 网 络 蠕虫 两 种 类 型 。 主 机 蠕虫 完全 包含 在 它们 运行 的 计算 机 中 ， 
并 且 使 用 网 络 的 连接 仅 将 自身 复制 到 其 他 的 计算 机 中 ,主机 蠕虫 在 将 其 自身 的 复制 加 入 
到 另外 的 主机 后 ,就 会 终止 它 自 身 ( 因 此 ,在 任意 给 定 的 时 刻 , 只 有 一 个 是 虫 的 复制 运 
行 ) ,这 种 蠕虫 有 时 也 叫 * 野 免 ”。 网 络 晴 虫 (wormy) 主要 是 利用 操作 系统 和 应 用 程序 漏洞 
传播 ,通过 网 络 的 通信 功能 将 自身 从 一 个 结 点 发 送 到 另 一 个 结 点 并 启动 运行 的 程序 ,可 
以 造成 网 络 服务 遭 到 拒绝 并 发 生死 锁 。 

蠕虫 由 一 个 主 程序 和 一 个 引导 程序 两 部 分 组 成 。 主 程序 一 旦 在 机 器 上 建立 就 会 去 
收集 与 当前 机 器 联网 的 其 他 机 器 的 信息 。 它 能 通过 读 取 公共 配置 文件 并 运行 显示 当前 
网 上 联机 状态 信息 的 系统 实用 程序 来 做 到 这 一 点 。 随 后 , 它 尝 试 利用 前 面 所 描述 的 那些 
缺陷 去 在 这 些 远 程 机 器 上 建立 其 引导 程序 。 蠕 虫 一 般 是 通过 1434 端口 漏洞 传播 。 


2. 网 络 蠕虫 与 病毒 的 区 别 


凡是 能 引起 计算 机 故障 ,破坏 计算 机 数据 的 程序 统称 为 计算 机 病毒 。 网 络 蠕虫 也 符 
合计 算 机 病毒 的 定义 ,从 这 个 意义 上 说 ,网 络 蠕虫 也 是 一 种 广义 的 计算 机 病毒 。 但 网 络 
肾 虫 与 计算 机 病毒 又 有 许多 不 同 之 处 ,为 了 区 分 网 络 蠕虫 和 病毒 ,Spafford 重新 定义 了 
计算 机 病毒 :“ 计 算 机 病毒 是 一 段 代 码 , 能 把 自身 加 到 其 他 程序 包括 操作 系统 上 ; 它 不 能 
独立 运行 ,需要 由 它 的 宿主 程序 运行 来 激活 它 。” 

由 定义 可 知 ,病毒 是 附着 于 程序 或 文件 中 的 一 段 计算 机 代码 , 它 可 在 计算 机 与 计算 
机 之 间 传 播 ,并 在 传播 途中 感染 计算 机 。 病 毒 可 破坏 软件 硬件 和 文件 。 病 毒 代码 的 明 
确 目的 是 自我 复制 。 病 毒 尝 试 将 自身 附加 至 主 程序 用 来 在 计算 机 之 间 进 行 传 播 。 与 蠕 
虫 病毒 相 比 , 它 能 够 破坏 硬件 、 软 件 和 信息 ,但 是 如 果 没 有 人 为 干预 ,病毒 是 不 会 独自 传 
播 的 (如 共享 文件 或 发 送 电 子 邮件 )。 

与 病毒 类 似 , 蠕 虫 也 在 计算 机 与 计算 机 之 间 自 我 复制 ,但 蠕虫 病毒 可 以 自动 完成 复 
制 过 程 ,因为 它 接管 了 计算 机 中 传输 文件 或 信息 的 功能 。 一 旦 计算 机 感染 蠕虫 病毒 ,里 
虫 即 可 独自 传播 。 但 最 危险 的 是 ,蠕虫 可 大 量 复制 。 例 如 ,蠕虫 可 向 电子 邮件 地 址 憩 中 
的 所 有 联系 人 发 送 自己 的 副本 ,联系 人 的 计算 机 也 将 执行 同样 的 操作 ,结果 造成 多 米 诺 
效应 (网 络 通信 和 负担 加 重 ) ,业务 网 络 和 整个 Internet 的 速度 都 将 减 慢 。 一 旦 新 的 蠕虫 被 
释放 ,传播 速度 将 非常 迅速 。 不 仅 使 网 络 堵塞 ,而 且 要 花费 两 倍 于 以 往 的 时 间 才 能 看 到 
Internet 网 页 。 

通常 ,蠕虫 传播 无 须 人 为 干预 , 即 蠕虫 的 传播 不 必 通 过 “主机 ”程序 或 文件 ,并 可 通过 
网 络 自 我 复制 (可 能 有 改动 ) 。 与 病毒 相 比 , 蠕 虫 可 以 消耗 内 存 或 网 络 带宽 ,并 导致 计算 
机 停止 响应 。 也 可 以 潜入 计算 机 系统 并 允许 其 他 人 远程 操控 计算 机 。 例 如 ,最 近 的 
MyDoom 蠕虫 可 以 打开 受 感染 系统 的 “后 门 ”, 然 后 使 用 这 些 系统 对 网 站 发 起 攻击 。 
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综 上 所 述 ,网 络 蠕虫 是 利用 计算 机 系统 的 漏洞 主动 攻击 网 络 计算 机 ,而 一 般 病毒 必 
须 以 其 他 程序 文件 为 载体 ,并 且 只 有 当 用 户 运 行 它 依附 的 文件 时 ,此 病毒 程序 才 被 激活 ， 
然后 感染 所 在 文件 系统 。 表 6-2 概括 了 网 络 蠕虫 与 计算 机 病毒 的 九 项 区 别 。 


表 6-2 网 络 蠕虫 与 计算 机 病毒 的 区 别 


病 毒 蠕 虫 
存在 形式 寄生 独立 个 体 
复制 形式 插入 到 宿主 程序 (文件 ) 中 自身 的 复制 
传染 机 制 宿主 程序 运行 系统 存在 漏洞 
攻击 目标 针对 本 地 文件 针对 网 络 上 的 其 他 计算 机 
触发 传染 计算 机 使 用 者 程序 自身 
影响 重点 文件 系统 网 络 性 能 、 系 统 性 能 
计算 机 使 用 者 角色 | 病毒 传播 中 的 关键 环节 无 关 
防止 措施 从 宿主 文件 中 摘除 为 系统 打 补 丁 程序 
对 抗 主体 计算 机 使 用 者 、 反 病毒 厂商 系统 软件 和 服务 软件 提供 商 、 网 络 管理 人 员 


3. 网 络 蠕虫 的 传播 途径 


1) 利用 漏洞 

这 种 方式 是 网 络 蠕虫 最 主要 的 破坏 方式 ,利用 漏洞 也 是 网 络 蠕虫 的 一 个 最 显著 的 特 
点 。 因 为 任何 系统 都 免不了 存在 不 足 , 运 行 在 计算 机 上 的 系统 软件 和 应 用 软件 也 不 可 避 
免 地 存在 缺陷 ,这 个 缺陷 就 是 漏洞 。 网 络 蠕虫 就 是 利用 计算 机 系统 存在 的 漏洞 去 编写 代 
码 攻击 计算 机 网 络 的 。 网 络 蠕虫 攻击 时 ,首先 探测 目标 计算 机 存在 的 漏洞 ,然后 根据 探 
测 到 的 漏洞 建立 传播 路 径 ,最 后 实施 攻击 。 著 名 的 振荡 波 蠕虫 病毒 利用 的 是 计算 机 的 
LSASS 漏洞 ,高 波 和 冲击 波 蠕虫 病毒 都 是 利用 的 RPC Dcom 缓冲 溢出 漏洞 。 

2) 依赖 E-mail 传播 

以 电子 邮件 附件 的 形式 进行 传播 是 网 络 蠕虫 采用 的 主要 传播 方式 ,蠕虫 编写 者 通过 
向 用 户 发 送 电子 邮件 ,而 用 户 在 不 知情 的 情况 下 单 击 了 电子 邮件 附件 时 ,网 络 蠕虫 就 会 
感染 此 计算 机 。 所 以 ,不 要 轻易 单 击 陌生 人 的 电子 邮件 ,以 免 感 染 网 络 蠕虫 。 影 响 范 围 
较 广 的 网 络 天 空 、 贝 革 热 和 小 邮差 等 蠕虫 病毒 都 是 利用 电子 邮件 传播 的 。 

3) 依赖 网 络 共享 

网 络 共享 是 网 络 蠕虫 传播 的 重要 途径 之 一 ,网 络 蠕虫 利用 共享 网 络 资源 进行 传播 。 
所 以 ,不 要 随意 设置 共享 文件 夹 ,以 免 被 网 络 蠕虫 利用 。 比 如 经 常 作 怪 的 尼 姆 达 蠕 虫 病 
毒 就 是 利用 网 络 共享 进行 传播 的 。 

4) 弱 密 码 攻 击 

若 用 户 的 密码 很 容易 猜测 ,网络 蠕 虫 则 会 在 攻克 了 用 户 密 码 后 进入 计算 机 并 获得 控 
制 权 。 所 以 ,应 该 设置 复杂 的 密码 ,增加 破解 难度 。 
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628 缓存 溢出 攻击 


在 1.2.4 节 中 已 经 介绍 了 有 关 缓 存 溢 出 的 原理 、 概 念 及 攻击 方式 ,这 里 就 不 再 歼 述 
下 面具 体 介绍 缓存 溢出 攻击 的 实例 。 


1. SQL 缓存 溢出 攻击 实例 


在 Windows 2000 机 器 上 装 了 mssql, 机 器 就 会 打开 1433 端口 。 溢 出 1433 需要 两 个 
工具 : nc. exe 和 sql2. exe( 在 www. sandflee. net 有 下 载 )。 

(1) 打开 一 个 命令 提示 符 窗口 。 把 下 载 的 nc. exe 和 sql2. exe 放 在 c 盘 根 目录 下 ， 
然后 输入 "c:N\nc 二 nc-Lp 56” 命 令 回 车 ,如 图 6-9 所 示 。 用 nc 这 个 工具 开 一 个 56 的 端 
口 监听 。 


图 6-9 ne 运行 窗口 


(2) 再 打开 一 个 命令 提示 符 窗 口 。 在 这 个 窗口 输入 “c:\nc 二 sql2. exe” 命 令 加 上 要 入 
侵 网 站 的 IP 和 自己 的 IP 再 加 上 “56 0” 后 回 车 ,如 图 6-10 所 示 


图 6-10 ”sql2 运行 窗口 


其 中 命令 行 中 的 56 可 以 随意 改 成 别 的 ,好 像 40 和 53 成 功率 高 一 点 。 如 果 命 令 中 的 
0 不 行 的 话 , 可 以 试 试 1 或 2。 如 果 入 侵 网 站 存在 这 个 漏洞 的 话 ,那么 打开 的 第 一 个 窗口 


就 会 定位 在 被 攻击 者 的 c:\winnt\system32F ,就 是 说 已 经 进入 被 攻击 者 的 机 器 里 了 ,如 
图 6-11 所 示 。 进 去 以 后 ,可 以 填 加 一 个 用 户 , 使 用 “net user guest /active: yes 命令 ,将 默 
认 禁 止 的 guest 用 户 激活 。 再 输入 “net user guest 123456” 命 令 , 把 guest 的 密码 变 成 


123456 ,然后 输入 “net localgroup administrators guest /add” 命 令 , 让 guest 成 为 最 高 权 
限 的 管理 员 。 


图 6-11 进入 被 攻击 系统 


以 上 几 种 入 侵 破坏 方法 ,防火 墙 均 无 报警 ,但 造成 的 破坏 却 是 严重 的 。 这 对 于 那些 
自 以 为 装 上 防火 墙 就 万 事 大 吉 的 人 来 说 是 沉重 的 打击 


629 其 他 相关 攻击 方式 


其 实 黑客 的 攻击 手段 繁多 ,不 可 能 一 一 例 举 ,下 面 对 在 工作 中 经 常 遇 到 的 其 他 类 型 
的 黑客 攻击 手段 加 以 说 明 。 


1. 电子 邮件 攻击 


电子 邮件 系统 面临 着 巨大 的 安全 风险 ,很 容易 成 为 某 些 专门 面向 邮件 攻击 的 目标 ， 
这 些 攻击 有 如 下 几 种 。 

1) 窃取 、 自 改 数据 

通过 监听 数据 包 或 者 截取 正在 传输 的 信息 ,黑客 能 够 读 取 甚 至 修改 数据 。 

2) 伪造 邮件 

黑客 伪造 邮件 ,使 它们 看 起 来 似乎 发 自 某 人 、 某 地 。 

3) 拒绝 服务 

黑客 可 以 让 系 ed dm 这 些 邮 件 信 息 塞 满 队列 ,占用 宝贵 
的 CPU 资源 和 网 络 带宽 。 黑 客 使 用 电子 邮件 攻击 时 ,一 般 是 采用 电子 邮件 炸弹 (E-mail 
te ple IP 地 址 和 电子 邮件 地 址 向 同一 信箱 发 送 数 以 千 计 、 万 计 其 至 
无 穷 多 次 的 内 容 相同 的 恶意 邮件 ,也 可 称 为 大 容量 的 垃圾 邮件 。 由 于 每 个 人 的 邮件 信箱 
是 有 限 的 , 当 庞 大 的 邮件 垃圾 到 达 信 箱 的 时 候 , 就 会 挤 满 信 箱 ,把 正常 的 邮件 给 冲 掉 。 同 
时 ,因为 它 占用 了 大 量 的 网 络 资源 ,常常 导致 网 络 塞 车 ,使 用 户 不 能 正常 地 工作 ,严重 者 
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可 能 会 给 电子 邮件 服务 器 带 来 危险 甚至 瘫痪 。“ 电 子 邮件 炸弹 ”是 最 早 的 拒绝 服务 攻击 
方式 之 一 ,是 一 种 破坏 性 很 强 的 攻击 。 

4) 病毒 

现在 电子 邮件 使 得 传送 文件 附件 更 加 容易 ,如 果 用 户 毫 不 设防 地 去 执行 文件 附件 ， 
病毒 就 会 感染 他 们 的 系统 。 


2，Web 欺骗 


这 是 一 种 在 Internet 上 使 用 的 针对 WWW 的 攻击 技术 ,这 种 攻击 方法 会 泄露 某 人 的 
隐私 或 破坏 数据 的 完整 性 ,危及 使 用 Web 浏览 器 的 用 户 。Web 站 点 的 广泛 使 用 ,诱惑 着 
网 上 的 欺诈 行为 。 这 种 欺诈 行为 是 由 于 铺天盖地 的 信息 ,而 又 无 法 让 人 们 辨认 其 真 假 。 
类 似 于 张贴 在 街头 的 小 广告 , 仅 赁 看 到 的 一 些 信息 ,是 无 法 分 辨 哪些 是 真 , 哪 些 是 假 。 而 
Web 上 这 种 欺诈 就 更 加 容易 了。 

黑客 攻击 时 , 先 编写 一 些 看 起 来 “合法 ”的 程序 ,上 传 到 一 些 FTP 站 点 或 是 提供 给 某 
些 个 人 主页 ,诱导 用 户 下 载 。 当 一 个 用 户 下 载 软件 时 ,黑客 的 软件 一 起 下 载 到 用 户 的 机 
器 上 。 该 软件 会 跟踪 用 户 的 计算 机 操作 , 它 静 静 地 记录 着 用 户 输入 的 每 个 密码 ,然后 把 
它们 发 送 给 黑客 指定 的 Internet 信箱 。 例 如 ,有 人 发 电子 邮件 给 用 户 , 声 称 为 “确定 我 们 
的 用 户 需 要 ?而 进行 调查 。 作 为 对 填写 表格 的 回报 ,允许 用 户 免费 使 用 多 少 小 时 。 但 是 ， 
该 程序 实际 上 却 是 搜集 用 户 的 密码 ,并 把 它们 发 送 给 某 个 远方 的 “黑客”。 

3. 利用 处 理 程 序 错 误 的 攻击 

这 是 利用 TCP/IP 协议 的 处 理 程序 中 的 错误 进行 的 攻击 。 攻 击 时 ,黑客 故意 错误 地 
设 定数 据 包 头 的 一 些 重要 字段 ,例如 ,IP 包头 部 的 TotalLength、Fragment offset IHL 和 
source address 等 字段 ,使 用 Raw Socket 将 这 些 错 误 的 IP 数据 包 发 送出 去 。 在 接受 数据 


端 ,接收 程序 通常 都 存在 一 些 问 题 ,因而 在 将 接受 到 的 数据 包 组 装 成 一 个 完整 的 数据 包 
的 过 程 中 ,就 使 系统 死机 、 挂 起 或 系统 崩溃 。 


4. IP 欺骗 


IP 电子 欺骗 ,就 是 通过 伪造 源 于 一 个 可 信任 IP 地 址 的 数据 包 使 一 台 机 器 认证 另 一 
台 机 器 的 复杂 技术 ,其 实质 就 是 让 一 台 机 器 来 扮演 另 一 台 机 器 ,借以 蒙混 过 关 。 其 中 , 信 
任 是 那些 获得 相互 连接 的 机 器 之 间 的 一 种 关系 。 认 证 是 这 些 机 器 用 于 彼此 识别 的 过 程 。 
源 地 址 认证 带 有 非 自身 弱点 ,就 使 电子 欺骗 成 为 可 能 。 伪 造 IP 地 址 的 目的 : 一 方面 , 防 
止 攻击 者 的 IP 地 址 被 服务 器 记载 而 暴露 身份 ; 另 一 方面 ,伪造 的 IP 地 址 可 以 欺骗 路 由 器 
或 网 关中 设置 的 防火 墙 ,以 达到 攻击 的 目的 。 

一 般 来 讲 , 欺 骗 是 一 种 减少 网 络 开 销 的 技术 ,尤其 在 广域网 (WAN) 中 。 通 过 欺骗 ， 
让 网 络 和 路 由 器 等 设备 响应 远程 设备 的 请 求 ,从 而 减少 必需 的 带宽 。 这 项 技术 欺骗 使 
LAN 设备 ,即使 远程 LAN 已 脱离 ,也 误 认 为 仍旧 与 之 相连 。 

欺骗 的 形式 多 种 多 样 , 从 随机 扫描 到 利用 系统 已 知 的 一 些 漏洞 。 电 子 欺 骗 攻 击 通 常 
发 生 于 一 台 主 机 被 确信 在 安全 性 方面 存在 漏洞 之 后 。 此 时 入 侵 者 已 做 好 了 实施 一 次 IP 


电子 欺骗 的 准备 ,攻击 者 知道 目标 网 络 存在 漏洞 并 且 知 道 该 具体 攻击 哪 一 台 主 机 。 如 果 
黑客 和 人 侵 成 功 ,他 可 以 控制 整个 Web 站 点 ,在 网 络 管理 人 员 不 知情 下 ,随心所欲 地 为 所 
欲 为 。 一 般 情 况 下 ,黑客 在 取得 IP 电子 欺骗 成 功 以 后 ,往往 会 做 如 下 事情 。 

1) 获得 较 高 授权 

在 人 侵 成 功 Web 站 点 重新 登记 注册 (往往 以 假名 方式 ) ,并 给 予 较 高 授权 ,使 得 入 侵 
者 可 以 在 下 次 “合法 ”地 进入 该 Web 站 点 。 

2) 设置 “后 门 ?程序 

在 入侵 成 功 Web 站 点 留 下 “后门 ?程序 ,入 侵 者 在 以 后 进入 该 Web 站 点 可 以 避 开 检 
验 认证 程序 的 检查 。 


5. ARP 地 址 欺骗 


2007 年 上 半年 ,在 网 络 上 频繁 出 现 了 一 种 ARP 地 址 欺骗 的 木马 ,受到 攻击 的 主机 表 
现 为 不 能 正常 上 网 ,但 是 表面 上 一 切 正常 ,看 不 出 问题 。 可 用 下 面 的 方法 检测 自己 的 计 
算 机 是 否 中 了 ARP 木马 。 

(1) 同时 按 Ctrl 十 Alt 十 Del 组 合 键 ,选择 “任务 管理 器 ", 选 中 “进程 ”标签 ,查看 其 中 
是 否 有 一 个 名 为 MIR0. dat 的 进程 。 如 果 有 ,说 明 已 经 中 毒 。 

(2) 单 击 “ 开 始 一 运行 ", 输 入 "arp-d" 回 车 ,然后 重新 尝试 上 网 ,如 能 短暂 正常 访问 ， 
则 说 明 此 次 断 网 是 受 木马 病毒 影响 。 

ARP 欺骗 木马 只 需 成 功 感染 一 台 计算 机 ,就 可 能 导致 整个 局 域 网 都 无 法 上 网 ,严重 
的 甚至 可 能 带 来 整个 网 络 的 瘫痪 。 

那 什么 是 ARP 地 址 欺骗 呢 ? 在 实现 TCP/IP 协议 的 网 络 环境 下 ,一 个 IP 包 走 到 
哪里 ,要 怎么 走 是 靠 路 由 表 定 义 。 但 是 , 当 IP 包 到 达 该 网 络 后 , 哪 台 机 器 响应 这 个 IP 
包 却 是 靠 该 IP 包 中 所 包含 的 硬件 MAC 地 址 来 识别 。 也 就 是 说 ,只 有 机 器 的 硬件 
MAC 地 址 和 该 耻 包 中 的 硬件 MAC 地 址 相同 的 机 器 才 会 应 答 这 个 IP 包 。 因 为 在 网 
络 中 ,每 一 台 主 机 都 会 有 发 送 IP 包 的 时 候 , 所 以 在 每 台 主 机 的 内 存 中 ,都 有 一 个 IP 到 
硬件 MAC 的 转换 表 。 通 常 是 动态 的 转换 表 ( 该 ARP 表 可 以 手工 添加 静态 条 目 ) 。 也 
就 是 说 ,该 对 应 表 会 被 主机 在 一 定 的 时 间 间 隔 后 刷新 。 这 个 时 间 间 隔 就 是 ARP 高 速 
缓存 的 超时 时 间 。 

通常 主机 在 发 送 一 个 IP 包 之 前 , 它 要 到 该 转换 表 中 寻找 和 IP 包 对 应 的 硬件 MAC 
地 址 。 如 果 没 有 找到 ,该 主机 就 发 送 一 个 ARP 广播 包 。 于 是 ,主机 刷新 自己 的 ARP 组 
存 , 然 后 发 出 该 IP 包 。 

了 解 这 些 常 识 后 ,现在 就 可 以 谈 一 下 在 以 
太 网 络 中 如 何 实现 ARP 欺骗 了 ,可 以 看 看 这 样 
一 个 例子 。 

1) 同一 网 段 的 ARP 欺骗 

如 图 6-12 所 示 , 有 三 台 主 机 ,其 中 每 台 主 机 
的 IP 和 MAC 地 址 如 下 。 

A 的 IP 地 址 是 192. 168. 0.1, 硬 件 地 址 为 国生 同一 网 区 为 环 多 
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AA;AA:AA:AA:;AA:AA., 

B 的 IP 地址 是 192. 168. 0.2, 硬 件 地 址 为 BB:BB:BB:BB:BB:BB。 

C 的 IP 地址 是 192.168.0.3, 硬 件 地 址 为 CC:CC:CC:CC:CC:CC。 

一 个 位 于 主机 B 的 入侵 者 想 非 法 进入 主机 A, 可 是 这 台 主 机 上 安装 有 防火 墙 。 通 过 
收集 资料 ,他 知道 这 台 主 机 A 的 防火 墙 只 对 主机 C 有 信任 关系 ,开放 23 端口 (telnet 端 
口 )。 而 他 必须 要 使 用 Telnet 来 进入 主机 A, 这 个 时 候 应 该 如 何 处 理 呢 ? 

如 果 主 机 A 和 主机 C 之 间 的 信任 关系 是 建立 在 硬件 地 址 MAC 的 基础 上 的 。 这 个 
时 候 需要 用 ARP 欺骗 的 手段 让 主机 A 把 自己 的 ARP 缓存 中 的 关于 192. 168. 0. 3 映射 
的 硬件 地 址 改 为 主机 B 的 硬件 地 址 。 

可 以 人 为 地 制造 一 个 arp_reply 的 响应 包 ,发送 给 想 要 欺骗 的 主机 ,这 是 可 以 实现 
的 ,因为 协议 并 没有 规定 必须 在 接收 到 arp_echo 后 才 可 以 发 送 响应 包 。 这 样 的 工具 很 
多 ,也 可 以 直接 用 sniffer pro 抓 一 个 arp 响应 包 , 然 后 进行 修改 。 

可 以 人 为 地 制造 这 个 包 , 可 以 指定 ARP 包 中 的 源 IP、 目 标 IP、 源 MAC 地 址 .目标 
MAC 地 址 。 这 样 就 可 以 通过 虚假 的 ARP 响应 包 来 修改 主机 A 上 的 动态 ARP 缓存 达到 
欺骗 的 目的 。 

下 面 是 具体 的 步骤 。 

(1) 先 研究 192. 0. 0. 3 这 台 主 机 ,发 现 这 台 主 机 的 漏洞 。 

(2) 根据 发 现 的 漏洞 使 主机 C 当 掉 ,暂时 停止 工作 。 

(3) 这 段 时 间 里 ,把 自己 的 IP 改 成 192. 0. 0. 3。 

(4) 用 工具 发 一 个 源 IP 地 址 为 192. 168. 0. 3 , 源 MAC 地 址 为 BB: BB: BB: BB: BB: 
BB 的 包 给 主机 A ,要 求 主 机 A 更 新 自己 的 ARP 转换 表 。 

(5) 主机 更 新 了 ARP 表 中 关于 主机 C 的 IP 到 MAC 对 应 关系 。 

防火 墙 失效 了 , 入 侵 的 IP 变 成 合法 的 
MAC 地 址 ,可 以 Telnet 了 。 

2) 不 同 网 段 的 ARP 欺骗 

如 图 6-13 所 示 ,A、C 位 于 同一 网 段 而 主机 号 
B 位 于 另 一 网 段 , 三 台 机 器 的 IP 地 址 和 硬件 地  B 
址 如 下 。 

A 的 IP 地址 为 192. 168. 0. 1, 硬 件 地 址 是 
AA:AA:AA:AA:AA:AA。 

B 的 IP 地 址 为 192. 168. 1.2, 硬 件 地 址 是 BB:BB:BB:BB:BB:BB。 

C 的 IP 地 址 为 192. 168. 0. 3 ,硬件 地 址 是 CC:CC:CC:CC:CC:CC。 

在 这 种 情况 下 ,位 于 192. 168. 1 网 段 的 主机 B 如 何 冒 充 主 机 C 欺骗 主机 A 呢 ? 显然 
用 上 面 的 办 法 的 话 , 即 使 欺骗 成 功 ,主机 B 和 主机 A 之 间 也 无 法 建立 Telnet 会 话 ,因为 
路 由 器 不 会 把 主机 A 发 给 主机 B 的 包 向 外 转发 ,路 由 器 会 发 现 地 址 在 192. 168. 0 网 段 
之 内 。 

3) 利用 ICMP 重 定向 报 文 达 到 ARP 欺骗 

ICMP 重 定向 报 文 是 ICMP 控制 报 文中 的 一 种 。 在 特定 的 情况 下 , 当 路 由 器 检测 到 
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一 台 机 器 使 用 非 优化 路 由 的 时 候 , 它 会 向 该 主机 发 送 一 个 ICMP 重 定向 报 文 , 请 求 主 机 
改变 路 由 。 路 由 器 也 会 把 初始 数据 报 向 它 的 目的 地 转发 。 

可 以 利用 ICMP 重 定向 报 文 达到 欺骗 的 目的 。 

下 面 是 结合 ARP 欺骗 和 ICMP 重 定向 进行 攻击 的 步 又 。 

(1) 为 了 使 自己 发 出 的 非法 IP 包 能 在 网 络 上 能 够 存活 长 久 一 点 ,要 修改 IP 包 的 生 
存 时 间 TTL 为 下 面 的 过 程 中 可 能 带 来 的 问题 做 准备 。 把 TTL 改 成 255(TTL 定义 一 个 
IP 包 如 果 在 网 络 上 到 不 了 主机 后 .在 网 络 上 能 存活 的 时 间 , 改 长 一 点 在 本 例 中 有 利于 做 
充足 的 广播 ) 。 

(2) 下 载 一 个 可 以 自由 制作 各 种 包 的 工具 (如 hping2) 。 

(3) 然后 和 前 面 一 样 ,寻找 主机 C 的 漏洞 ,按照 这 个 漏洞 当 掉 主机 C。 

(4) 在 该 网 络 的 主机 找 不 到 原来 的 192. 0.0. 3 后 ,将 更 新 自己 的 ARP 对 应 表 。 于 是 
发 送 一 个 原 IP 地 址 为 192. 168. 0. 3 ,硬件 地 址 为 BB:BB:BB:BB:BB:BB 的 ARP 响 
应 包 。 

(5) 构造 一 个 ICMP 的 重 定向 广播 。 虽 然 现在 每 台 主 机 都 知道 了 ,一 个 新 的 MAC 
地 址 对 应 192. 0. 0. 3 ,一 个 ARP 欺骗 完成 了 。 但 是 ,每 台 主机 都 只 会 在 局 域 网 中 找 这 个 
地 址 ,而 根本 就 不 会 把 发 送 给 192.0.0.3 的 IP 包 丢 给 路 由 。 

(6) 定制 一 个 ICMP 重 定向 包 告 诉 网 络 中 的 主机 :到 192. 0. 0. 3 的 路 由 最 短路 径 不 
是 局 域 网 ,而 是 路 由 。 请 主机 重 定向 路 由 路 径 , 把 所 有 到 192. 0.0.3 的 IP 包 丢 给 路 由 。 

(7) 主机 A 接受 这 个 合理 的 ICMP 重 定向 ,于 是 修改 自己 的 路 由 路 径 , 把 对 
192. 0.0. 3 的 通信 都 丢 给 路 由 器 。 

(8) 入 侵 者 终于 可 以 在 路 由 外 收 到 来 自 路 由 内 的 主机 IP 包 了 ,可 以 开始 Telnet 到 
主机 的 23 端口 。 

其 实 上 面 的 想法 只 是 一 种 理想 的 情况 ,主机 许可 接收 的 ICMP 重 定向 包 其 实 有 很 多 
的 限制 条 件 ,这 些 条 件 使 ICMP 重 定向 变 得 非常 困难 。 

TCP/IP 协议 实现 中 ,关于 主机 接收 ICMP 重 定向 报 文 主要 有 下 面 几 条 限制 。 

(1) 新 路 由 必须 是 直达 的 。 

(2) 重 定 向 包 必 须 来 自 去 往 目 标的 当前 路 由 。 

(3) 重 定向 包 不 能 通知 主机 用 自己 作 路 由 。 

(4) 被 改变 的 路 由 必须 是 一 条 间接 路 由 。 

由 于 有 这 些 限 制 , 所 以 ICMP 欺骗 实际 上 很 难 实现 。 但 是 也 可 以 主动 地 根据 上 面 的 
思维 寻找 一 些 其 他 的 方法 。 更 为 重要 的 是 知道 了 这 些 欺骗 方法 的 危害 性 ,就 可 以 采取 相 
应 的 防御 办 法 。 


63 黑客 攻击 的 译 要 防范 措 郊 


随 着 网 络 技术 的 进步 ,黑客 ”的 攻击 技术 在 不 断 地 变化 和 升级 ,病毒 和 黑客 技术 的 
结合 ,黑客 攻击 和 防范 黑客 的 对 抗 呈现 越 来 越 激烈 的 局 面 。 单 靠 几 个 孤立 的 安全 系统 是 
无 法 防范 黑客 的 ,需要 采用 网 络 系统 和 个 人 用 户 安全 防范 相 结合 .多 种 网 络 安全 设备 相 
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结合 的 综合 的 防范 措施 。 以 下 将 论述 黑客 防范 措施 的 几 个 方面 。 
631 使 用 服务 器 版 本 的 操作 系统 


在 选择 网 络 操作 系统 时 ,要 注意 其 提供 的 安全 等 级 ,尽量 选用 安全 等 级 高 的 操作 系 
统 。 美 国 国 防 部 1985 年 提出 的 计算 机 系统 评价 准则 ,是 一 个 计算 机 系统 的 安全 性 评估 
的 标准 , 它 使 用 了 可 信 计 算 机 TCB 这 一 概念 , 即 计算 机 硬件 与 支持 不 可 信 应 用 及 不 可 信 
用 户 的 操作 系统 的 组 合体 。 网 络 操作 系统 的 安全 等 级 是 网 络 安全 的 根基 ,如 果 基 础 不 好 
则 网 络 安全 先天 不 良 , 在 此 基础 上 很 多 努力 将 无 从 谈 起 。 如 有 的 网 络 采 用 的 UNIX 系统 
由 于 版 本 太 低 从 而 导致 安全 级 别 太 低 , 只 有 C4 级 ,而 网 络 系统 安全 起 码 要 求 是 C2 级 。 
1999 年 9 月 13 日 ,由 公安 部 提出 并 组 织 制 定 的 强制 性 国家 标准 (计算 机 信息 系统 安全 保 
护 等 级 划分 准则 》, 它 通过 规范 、 科 学 和 公正 地 评定 和 监督 管理 ,为 计算 机 信息 系统 安全 
等 级 保护 管理 法 则 的 制定 和 执法 部 门 的 监督 检查 提供 依据 ,为 计算 机 信息 系统 安全 产品 
的 研制 提供 技术 指导 。 各 网 络 管理 部 门 应 按照 系统 的 安全 等 级 ,选用 符合 安全 等 级 保护 
要 求 的 网 络 操作 系统 ,及 时 更 新 操作 系统 的 版 本 。 

在 网 络 上 提供 服务 的 计算 机 一 定 要 安装 高 版 本 的 UNIX 操作 系统 或 者 服务 器 版 的 
操作 系统 (如 SAS Linux 或 者 Windows 2000 Server、Windows Server 2003) ,对 于 个 人 计 
算 机 最 好 安装 专业 版 的 Windows 2000/XP, 并 随时 注意 操作 系统 厂商 推出 的 补丁 程序 。 


632 堵 住 系统 漏洞 


1. 安装 操作 系统 时 要 注意 


因为 现在 的 硬盘 越 来 越 大 ,许多 人 在 安装 操作 系统 时 希望 安装 越 多 越 好 。 岂 不 知 装 
的 越 多 所 提供 的 服务 就 越 多 ,而 系统 的 漏洞 也 就 越 多 。 如 果 只 是 要 作为 一 个 代理 服务 
器 , 则 只 安装 最 小 化 操作 系统 和 代理 软件 ,杀毒 软件 .防火 墙 即 可 。 不 要 安装 任何 应 用 软 
件 , 更 不 可 安装 任何 上 网 软件 用 来 上 网 下 载 ,甚至 输入 法 也 不 要 安装 ,更 不 能 让 别人 使 用 
这 台 服 务 器 。 


2. 安装 补丁 程序 


上 面 所 讲 的 利用 输入 法 的 攻击 其 实 就 是 黑客 利用 系统 自身 的 漏洞 进行 的 攻击 。 及 
时 下 载 微软 提供 的 补丁 程序 来 安装 ,就 可 较 好 地 完善 系统 和 防御 黑客 利用 漏洞 的 攻击 。 
可 下 载 Windows 最 新 的 Service Pack 补丁 程序 ,也 可 直接 运行 “开始 ”菜单 中 的 Windows 
Update 进行 系统 的 自动 更 新 。 


3. 关闭 无 用 的 甚至 有 害 的 端口 


计算 机 要 进行 网 络 连 接 就 必须 通过 端口 ,而 黑客 要 种 上 “木马 ”控制 电脑 也 必须 要 通 
过 端口 。 所 以 ,可 以 通过 关闭 一 些 暂 时 无 用 的 端口 (但 对 于 “黑客 " 却 可 能 有 用 ) , 即 关 闭 
无 用 的 服务 ,来 减少 黑客 的 攻击 路 径 。 可 通过 “控制 面板 ”的 “管理 工具 ”来 进入 “服务 ”。 
1) server 服务 
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此 服务 提供 RPC 支持 文件 打印 以 及 命名 共享 , 关 掉 它 就 关 掉 Windows 2000 的 默认 
共享 ,比如 IPCS$ (可 用 于 net 命令 攻击 )、c$ (C 盘 共 享 )、ADMIN $ (winntNsystem32 目 
录 共 享 ) ,最 好 还 要 取消 网 络 中 的 文件 和 打印 共享 。 

如 果 要 禁止 C$ .DS$ .ES$ 一 类 根 目 录 的 共享 ,可 以 单 击 “ 开 始 一 运行 ”命令 ,在 运行 
窗口 键入 Regedit 后 回 车 ,打开 注册 表 编 辑 器 , 随后 依次 展开 [LHKEY _LOCAL _ 
MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters | 分 支 , 将 
右 侧 窗口 中 “AutoShareServer” 的 键 值 设置 为 0 即 可 (如 没有 可 新 建 该 值 ) 。 

如 果 要 禁止 ADMIN $ 共享 ,可 以 在 同样 的 分 支 下 ,将 右 侧 窗 口中 AutoShareWKs 的 
键 值 设 置 为 0( 如 没有 可 新 建 该 值 )。 如 果 要 禁止 IPC$ 共享 ,可 以 在 注册 表 编 辑 器 中 依 
次 展开 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] 分 支 ， 
将 右 侧 窗口 中 restrictanonymous 的 键 值 设置 值 为 1 即 可 。 

如 在 进行 上 述 操 作 后 操作 系统 仍然 出 现 共享 根 目 录 的 现象 , 那 需 要 使 用 杀毒 软件 来 
进一步 检查 系统 。 

2) 木马 及 蠕虫 攻 端 口 

(1) 23 端口 

通过 关闭 Telnet 服务 即 可 禁止 Telnet 服务 (该 服务 可 使 远程 用 户 登 录 到 系统 并 且 
使 用 命令 运行 控制 台 程序 ) 。 

(2) 3389 端口 

3389 端口 是 Windows 的 远程 管理 终端 所 开 的 端口 ,请 先 确定 该 服务 是 否 是 用 户 自 
己 开放 的 。 如 果 不 是 必需 的 ,要 关闭 该 服务 。 在 管理 工具 -终端 服务 配置 -连接 -RDP-TCP 
属性 -远程 控制 - 选 “不 允许 远程 控制 "来 关闭 3389 等 一 些 无 用 的 端口 。 在 Windwos 2000 
中 关闭 的 方法 是 打开 服务 管理 器 ,找到 Terminal Services 服务 项 ,在 属性 选项 中 将 启动 
类 型 改 成 手动 ,并 停止 该 服务 。Windows XP 关闭 的 方法 是 在 “我 的 电脑 ”上 右 击 选择 “ 属 
性 ”进入 “远程 ”选项 页 ,将 里 面 的 远程 协助 和 远程 桌面 两 个 选项 框 里 的 勾 去 掉 。 

(3) 4899 端口 

首先 说 明 4899 端口 是 远程 控制 软件 (remote administrator) 服 务 端 监听 的 端口 ,不 
能 算是 一 个 木马 程序 ,但 是 具有 远程 控制 功能 。 通 常 杀毒 软件 是 无 法 查 出 它 来 的 ,请 先 
确定 该 服务 是 否 是 自己 开放 并 且 是 必需 的 。 如 果 不 是 ,可 以 关闭 它 。 

打开 命令 提示 符 窗 口 ,然后 输入 “cd C:;\winnt\system32\r_server. exe /stop” 命 令 后 
回 车 。 

然后 再 输入 “r_server /uninstall /silence” 回 车 命令 。 

最 后 到 C:\winnt\system32 目录 下 删除 r_server. exe、admdll. dll ,radbrv. dll 三 个 文 
件 。 

(4) 5800、5900 端口 

首先 使 用 fport 命令 确定 出 监听 在 5800 和 5900 端口 的 程序 所 在 位 置 (通常 是 c:\ 
winnt\fonts\explorer. exe) 。 

然后 在 任务 管理 器 中 杀 掉 相关 的 进程 (有 一 个 是 正常 的 系统 进程 ,如 果 错 杀 可 以 重 
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接着 删除 c:\winnt\fonts\ 中 的 explorer. exe 程序 。 

还 要 删除 注册 表 HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ 
CurrentVersion\Run 中 的 Explorer 项 。 

最 后 重新 启动 机 器 。 

(5) 6129 端口 

6129 端口 是 一 个 远程 控制 软件 (dameware nt utilities) 服 务 端 监 听 的 端口 ,具有 远程 
控制 功能 ,通常 的 杀毒 软件 是 无 法 查 出 它 来 的 。 请 先 确 定 该 服务 是 否 是 自己 安装 并 且 是 
需要 的 ,如 果 不 是 可 以 关闭 。 关 闭 6129 端口 方法 如 下 。 

在 服务 管理 器 中 找到 DameWare Mini Remote Control 项 右 击 选择 属性 ,将 启动 类 
型 改 成 禁用 后 停止 该 服务 。 

再 到 c:\winnt\system32 目录 下 将 DWRCS. EXE 程序 删除 。 

最 后 到 注册 表 中 将 HKEY _LOCAL_MACHINE\SYSTEM \\ ControlSet001 \ 
Services\DWMRCS 项 删除 。 

也 可 用 “TCP/IP 筛选 ?来 设置 开始 的 端口 ,方法 是 在 “本 地 连接 ”属性 中 选择 “TCP/ 
IP 协议 ”然后 选择 “属性 ”, 在 打开 的 “常规 ”选项 页 中 选择 “高 级 ”, 打 开 “ 选 项 ”选项 页 , 选 
择 “TCP/IP 筛选 "后 选择 “属性 ”, 在 TCP 端口 上 方 选择 “只 允许 ”, 然 后 单 击 “ 添 加 ”添加 
需要 打开 的 端口 ,如 上 网 必须 要 用 的 80 端口 。 


4. 卸载 WSH 功能 


由 于 部 分 蠕虫 病毒 是 采用 VBScript 脚本 语言 编写 的 ,而 VBScript 代码 必须 由 WSH 
(Windows Script Host) 解 释 执 行 。 由 于 WSH 一 般 不 影响 计算 机 的 正常 工作 ,所 以 ,可 
以 将 WSH 功能 印 载 掉 ,使 蠕虫 病毒 失去 出 发 运行 的 环境 。 具 体 方 法 如 下 。 

要 在 Windows 98 中 删除 WSH, 先 打开 “添加 /删除 ”程序 ,选择 “Windows 设置 / 附 
件 ” 后 单 击 “详细 资料 ”, 取 消 Windows Scripting Host 选项 ,然后 单 击 “ 确 定 ” 按 钮 即 可 。 

要 在 Windows 2000/XP/Server 中 删除 WSH ,首先 双击 “我 的 电脑 ”图标 , 然 后 执行 
“工具 /文件 夹 选项 ”命令 ,选择 “文件 类 型 "选项 卡 , 选 中 VBS VBScript Script File 选项 ， 
单 击 “ 删 除 ” 按 钮 ,最 后 单 击 “ 确 定 ” 按 钮 即 可 。 

另外 ,在 操作 系统 上 还 要 进行 “删除 Guest 账号 ”“ 限 制 不 必要 的 用 户 数 量 "“ 创 建 
一 个 陷阱 账号 ?操作 ,具体 在 第 4 章 相 关内 容 中 已 经 详 述 。 


633 防火 墙 


在 黑客 防范 体系 中 ,防火 墙 是 特别 重要 的 一 种 ,是 安全 策略 实施 的 核心 要 素 。 
图 6-14 显示 了 一 个 用 来 分 离 不 同 网 络 区 域 的 防火 墙 设备 。 各 个 功能 区 域 通 常 也 被 称 为 
安全 区 ,这 些 区 域 包 括 专业 区 、 公 用 区 和 非 军事 区 (demilitarized zone,DMZ) 。 

Cisco 的 《思科 网 络 术 语 和 缩 略 语词 典 ) 中 对 防火 墙 的 定义 是 :“ 防 火 墙 是 在 连接 的 公 
用 网 和 专用 网 之 间作 为 缓冲 的 路 由 器 或 接 和 服务 器 (一 台 或 多 台 )。 用 作 防 火 墙 的 路 由 
器 一 般 采 用 接 入 列表 和 一 些 其 他 方法 来 保证 专用 网 的 安全 。” 

如 图 6-14 所 示 , 防 火 墙 的 内 部 接口 连接 了 一 个 专用 的 或 者 企业 内 联网 ,而 外 部 接口 
则 连接 Internet( 不 可 信任 网 络 ) ,DMZ 是 一 个 受 隔 离 的 网 络 ,其 中 放置 着 Web 服务 器 和 
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邮件 服务 器 。 


Internet 
(WWW) 


ship 


| 四 DMz 扩 ”ee 


防火 墙 
6-14 ”防火 墙 部 署 


防火 墙 通常 是 软件 和 硬件 的 组 合体 。 它 是 基于 被 保护 网 络 具 有 明确 定义 的 边界 和 
服务 ,并 且 网 络 安全 的 威胁 大 部 分 来 自 外 部 网 络 。 它 通过 监测 .限制 以 及 更 改 跨越 “防火 
墙 ” 的 数据 流 尽 可 能 地 对 外 部 网 络 屏蔽 有 关 被 保护 网 络 的 信息 ,结构 ,实现 对 网 络 的 安全 
保护 。 防 火 墙 网 络 安 全 保障 系统 实施 相当 简单 ,是 日 前 应 用 较 广 的 网 络 安全 技术 ,因为 
它 把 诸多 安全 功能 集中 到 一 点 上 ,大 大 简化 了 安装 .配置 和 管理 的 手续 。 另 一 个 特点 是 
它 不 限于 TCP/IP 协议 ,从 而 不 只 适用 于 Internet, 类 似 的 技术 完全 可 以 用 在 任何 分 组 交 
换 网 络 当中 ,如 X. 25 或 ATM 都 可 以 。 

图 6-15 是 利用 防火 墙 防范 黑客 在 进行 网 络 攻击 前 进行 有 关 服 务 器 信息 收集 的 对 策 。 


广播 echo 请 求 


源 地 址 假冒 成 
目标 系统 人 P 


大 量 信息 返 
图 6-15 利用 防火 墙 防范 黑客 收集 DNS 信息 


在 图 6-15 中 可 以 看 到 ,DNS 采用 层次 性 分 布 ,防火 墙 的 DMZ 和 保护 的 网 络 中 分 别 
设置 一 台 DNS 服务 器 ,在 DMZ 中 的 DNS 服务 器 的 区 域 分 布 文件 中 只 需要 定义 公 网 上 
的 服务 器 ,而 所 有 内 部 网 络 中 的 主机 信息 在 内 部 DNS 中 定义 ,同时 在 防火 墙 上 设置 相应 
的 规则 ,只 允许 外 部 网 络 访问 DMZ 中 的 Web 和 邮件 服务 器 及 DNS 服务 器 ,不 允许 对 内 
部 网 络 中 的 主机 进行 访问 ,但 允许 内 部 网 络 中 的 DNS 服务 器 访问 DMZ 中 的 DNS 服务 
器 。 也 就 是 说 内 部 网 络 中 的 主机 需要 访问 外 部 网 络 时 ,通过 DMZ 中 的 服务 器 进行 转发 。 
同时 设置 防火 墙 不 允许 对 TCP 的 53 端口 进行 访问 ,因为 一 般 的 域名 请 求 是 通过 UDP 
的 53 端口 进行 访问 ,而 TCP 53 的 端口 主要 针对 内 部 区 域名 服务 器 和 外 部 域名 服务 器 之 
间 的 区 域 文件 进行 传输 。 从 上 面 可 以 看 出 很 多 信息 安全 的 设置 并 不 是 单一 的 ,而 是 通过 
功能 不 同 的 网 络 安全 设备 完成 不 同 的 任务 。 

有 了 防火 墙 设备 ,要 设置 好 才 会 有 效 。 一 般 防 火 墙 安装 后 进入 自 定 义 IP 规则 进行 
设置 ,必须 选择 的 有 如 下 几 点 。 
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(1) 禁止 互联 网 上 的 机 器 使 用 共享 资源 。 

(2) 禁止 所 有 人 的 连接 。 

(3) 禁止 所 有 人 连接 0 一 255 端口 。 

(4) 允许 已 经 授权 的 程序 打开 端口 。 

这 样 一 切 需要 开放 的 端口 程序 都 需要 审批 ,但 是 不 要 选择 “系统 设置 "里 的 “允许 所 
有 应 用 程序 访问 网 络 ,并 在 规则 记录 这 些 程序 ”。 这 个 设置 是 防范 反弹 木马 和 键盘 记录 
的 秘密 武器 。 

但 是 防火 墙 也 不 是 坚不可摧 的 ,其 实 防火 墙 也 是 一 个 专用 的 计算 机 系统 ,其 本 身 也 
存在 安全 隐患 ,如果 设置 不 当 , 也 会 留 下 漏洞 ,成 为 黑客 攻击 网 络 的 桥梁 。 另 外 要 特别 注 
意 的 是 防火 墙 只 能 防范 外 部 网 络 的 黑客 攻击 ,而 并 不 能 防范 内 部 网 络 的 黑客 攻击 。 具 体 
有 关 防 火 墙 的 技术 将 在 第 7 章 中 论述 。 


634 攻击 检测 


对 于 黑客 攻击 的 防范 ,如 果 能 够 在 黑客 攻击 的 前 期 就 能 发 现 其 行踪 , 阻 断 黑客 攻击 
的 过 程 , 就 会 大 大 减少 攻击 造成 的 损失 。 目 前 :发现 黑客 攻击 的 手段 一 般 采用 网 络 攻击 
检测 。 网 络 攻击 检测 的 基本 假定 前 提 是 任何 可 检测 的 网 络 攻击 都 有 异常 行为 ,所 以 ,网 
络 攻 击 检测 主要 是 检测 网 络 中 的 异常 行为 。 根 据 检测 网 络 异 常 行为 的 不 同方 法 .检测 网 
络 异 常 行为 的 不 同位 置 ,可 以 形成 不 同 的 攻击 检测 方案 。 

为 了 进行 网 络 攻击 的 检测 ,必须 能 够 描述 网 络 攻击 的 特征 。 网 络 攻击 包括 了 攻击 者 
和 受害 者 。 从 攻击 者 角度 出 发 ,网 络 攻击 主要 采用 攻击 的 意图 .攻击 被 暴露 的 危险 程度 
等 特征 描述 ;从 受害 者 角度 出 发 ,网 络 攻击 主要 采用 攻击 的 显露 程度 ,攻击 可 能 造成 的 损 
失 等 特征 描述 。 目 前 采用 的 攻击 检测 方法 通常 是 从 攻击 者 角度 分 析 和 研究 网 络 攻击 的 
特征 。 但 是 ,为 了 有 效 部 署 和 配置 网 络 攻 击 检测 系统 ,也 需要 从 受害 者 角度 出 发 分 析 网 
络 攻击 。 


1. 典型 网 络 攻击 检测 系统 


网 络 攻击 检测 需要 通过 一 个 系统 才能 完成 ,首先 需要 对 网 络 攻击 检测 系统 有 一 个 总 
体 认 识 。 典 型 的 网 络 攻击 检测 系统 如 图 6-16 所 示 。 

这 个 系统 设置 在 企业 网 和 公共 Internet 的 连接 部 分 ,该 系统 采用 了 2 个 防火 墙 ,设置 
了 一 个 企业 外 部 网 和 一 个 企业 内 部 网 。 在 企业 网 的 外 部 网 中 连接 了 一 个 WWW 服务 器 ， 
在 企业 内 部 网 通过 网 络 交 换 设 备 连接 了 多 台 企 业内 部 主机 。 整 个 系统 包括 了 网 络 探测 
点 ,主机 探测 点 、 应 用 探测 点 、 网 络 分 析 器 、 主 机 /应 用 分 析 器 以 及 攻击 检测 控制 台 。 

网 络 探测 点 分 别 设置 在 Internet 段 、 企 业 外 部 网 段 和 企业 内 部 网 段 ,用 于 提取 可 疑 
的 数据 传递 给 网 络 分 析 器 。 万 维 网 服务 器 和 主机 执行 主机 探测 点 软件 ,监视 外 部 与 操作 
系统 之 间 可 疑 的 交互 ,提取 可 疑 的 交互 数据 传递 给 主机 分 析 器 。 万 维 网 服务 器 还 执行 应 
用 探测 点 软件 ,监视 对 应 用 接口 的 可 疑 调用 ,并 提取 可 疑 的 应 用 调用 传递 给 应 用 分 析 器 。 

网 络 分 析 器 和 主机 /应 用 分 析 器 将 分 析 结 果 提 交 给 攻击 检测 控制 台 , 确 定 对 可 疑 事 
件 的 处 理 , 例 如 ,发布 网 络 攻击 警报 .启动 网 络 攻击 防御 系统 .向 网 络 安全 管理 员 发 送 事 
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6-16 一 个 典型 的 网 络 攻击 检测 系统 结构 


件 报告 .向 网 络 安全 机 构 发 送 网 络 攻击 报告 等 。 
2. 网 络 攻 击 检 测 分 类 


网 络 攻击 检测 可 以 按照 检测 的 对 象 不 同 进行 分 类 ,也 可 以 按照 检测 的 方法 不 同 进行 
分 类 。 从 以 上 典型 的 网 络 攻击 检测 系统 可 以 看 出 ,网 络 攻击 检测 可 以 分 为 基于 网 络 的 攻 
击 检测 技术 和 基于 主机 的 攻击 检测 技术 。 这 是 按照 检测 的 对 象 不 同 而 进行 的 分 类 ,这 也 
是 从 攻击 检测 系统 的 部 署 和 使 用 角度 对 网 络 攻击 检测 的 分 类 。 

实际 上 网 络 攻击 检测 技术 的 本 质 区 别 在 于 检测 的 方法 。 所 以 ,在 对 网 络 攻击 检测 的 
研究 中 ,一 般 按 照 攻 击 检测 的 方法 不 同 ,将 网 络 攻击 检测 分 成 特征 检测 方法 和 异常 检测 
方法 。 

1) 基于 网 络 的 攻击 检测 技术 

基于 网 络 的 攻击 检测 技术 是 通过 监视 和 分 析 网 络 上 传递 的 一 组 可 疑 报 文 ,检测 网 
络 上 可 能 发 生 的 或 者 正在 发 生 的 网 络 攻击 的 一 类 技术 。 基 于 网 络 的 攻击 检测 设备 一 
般 部 署 在 企业 网 多 个 关键 的 网 段 上 .例如 ,典型 攻击 检测 系统 ,基于 网 络 的 攻击 探测 点 
部 署 在 连接 企业 网 的 公共 Internet 的 网 段 、 企 业 外 部 网 的 网 段 以 及 企业 内 部 网 的 接 和 人 
网 段 。 

基于 网 络 的 攻击 检测 技术 通过 采集 网 络 上 传递 的 可 疑 报 文 ,可 以 同时 检测 对 多 台 主 
机 的 网 络 攻击 。 由 于 基于 网 络 的 攻击 检测 是 实时 攻击 检测 技术 ,要 求 网 络 探测 点 具有 和 较 
高 的 分 析 和 处 理 能 力 。 如 果 在 高 速 传输 网 段 上 探测 可 疑 报 文 ,将 对 攻击 检测 方法 的 性 能 
提出 很 高 的 要 求 。 这 样 ,基于 网 络 的 攻击 检测 技术 在 高 速 网 络 环境 下 ,会 因为 无 法 按照 
链 路 传递 的 速度 探测 报 文 而 造成 漏 报 ?的 现象 。 

由 于 基于 网 络 的 攻击 检测 系统 可 以 独立 于 网 络 设备 和 网 络 主机 部 署 ,不 影响 网 络 服 
务 器 和 客户 机 的 性 能 ,易于 配置 和 管理 。 所 以 ,基于 网 络 的 攻击 检测 系统 得 到 了 较为 广 
泛 的 应 用 。 
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2) 基于 主机 的 攻击 检测 技术 

基于 主机 的 攻击 检测 技术 是 通过 检查 计算 机 系统 的 日 志 数据 和 审核 数据 ,以 及 监视 
应 用 与 主机 操作 系统 之 间 可 疑 的 交互 ,检测 可 能 发 生 的 、 正 在 发 生 的 或 者 已 经 发 生 的 网 
络 攻 击 的 一 类 技术 。 

基于 主机 的 攻击 检测 技术 可 以 检测 某 些 针对 主机 的 攻击 ,这 些 对 网 络 主 机 的 攻击 是 
难以 或 者 无 法 通过 基于 网 络 的 攻击 检测 技术 检测 到 的 攻击 。 基 于 主机 的 攻击 检测 技术 
可 以 有 效 地 检测 一 些 特征 不 明显 的 攻击 ,例如 , 空 耗 系统 资源 .降低 主机 系统 性 能 这 类 
攻击 。 

基于 主机 的 攻击 检测 技术 需要 在 网 络 主机 中 安装 和 运行 主机 探测 点 软件 和 应 用 探 
测 点 软件 ,会 在 一 定 程度 上 影响 网 络 主机 的 配置 ,降低 网 络 主机 的 处 理性 能 。 另 外 ,对 于 
一 些 较 为 复杂 的 网 络 攻 击 , 可 以 自动 删除 主机 系统 中 与 攻击 相关 的 日 志 数 据 和 审核 数 
据 , 对 基于 主机 的 攻击 检测 造成 一 定 的 困难 。 所 以 ,较为 完整 的 攻击 检测 系统 就 像 上 面 
描述 那个 典型 的 攻击 检测 系统 那样 ,通常 综合 了 基于 网 络 的 攻击 检测 技术 和 基于 主机 的 
攻击 检测 技术 。 

3) 网 络 攻 击 的 特征 检测 方法 

无 论 是 基于 网 络 的 攻击 检测 技术 ,还 是 基于 主机 的 攻击 检测 技术 ,都 需要 设计 具体 
的 攻击 检测 方法 。 网 络 攻击 是 网 络 系统 中 的 非 正 常 行为 ,所 以 ,检测 网 络 攻击 也 就 是 识 
别 这 些 网 络 的 非 正常 行为 。 

如 果 能 够 在 分 析 已 有 的 网 络 攻击 的 基础 上 ,提取 出 网 络 攻击 的 特征 模式 , 则 可 以 通 
过 对 网 络 中 正在 发 生 的 或 者 已 经 发 生 的 行为 进行 模式 匹配 ,找到 可 能 发 生 的 、 正 在 发 生 
的 或 者 已 经 发 生 的 网 络 攻击 。 这 种 网 络 攻击 的 检测 方法 就 是 特征 检测 方法 。 

网 络 攻击 的 特征 检测 方法 的 最 大 优点 是 对 已 经 发 现 的 网 络 攻 击 检测 的 精确 度 较 高 ， 
它 的 最 大 缺点 是 无 法 检测 到 未 知 的 网 络 攻击 。 另 外 , 它 与 防 病毒 软件 一 样 , 需 要 不 断 更 
新 .升级 网 络 攻 击 特征 库 。 

4) 网 络 攻击 的 异常 检测 方法 

为 了 有 效 地 控制 网 络 攻击 造成 的 危害 ,必须 能 够 及 时 检测 到 可 能 的 网 络 攻击 。 这 
样 ,就 要 求 攻击 检测 系统 不 能 仅仅 检测 已 经 造成 危害 的 网 络 攻击 ,必须 能 够 及 早 发 现 可 
能 的 、 新 出 现 的 网 络 攻击 。 这 就 需要 从 网 络 正常 行为 角度 检测 可 能 的 网 络 攻 击 。 

如 果 能 够 在 正确 地 分 析 正 常 网 络 行为 的 基础 上 ,建立 一 个 正常 网 络 行为 的 模式 , 则 
可 以 对 网 络 上 正在 发 生 的 和 已 经 发 生 的 行为 进行 分 析 、 过 滤 , 提 取出 非 正 常 的 网 络 行为 ， 
在 进一步 对 非 正常 网 络 行为 进行 分 析 的 基础 上 ,检测 出 可 能 发 生 的 、 正 在 发 生 的 或 者 已 
经 发 生 的 网 络 攻击 行为 。 

网 络 攻击 的 异常 检测 方法 主要 优点 是 能 够 发 现 未 知 的 、 可 能 的 网 络 攻击 。 它 的 主要 
不 足 是 会 将 尚未 描述 的 正常 网 络 行为 也 作为 网 络 攻击 行为 ,造成 较 高 的 网 络 攻击 的 误 报 
率 ,特别 是 在 目前 国际 上 还 没有 提出 个 完整 的 描述 网 络 报 文 传递 行为 模型 之 前 ,很 难 建 
立 一 个 通用 的 网 络 攻击 的 异常 检测 模型 。 但 是 在 特定 网 络 应 用 环境 下 的 网 络 攻 击 异 常 
检测 方法 还 是 可 以 取得 较 好 的 效果 。 


635 身份 认证 与 安全 密码 


一 般 传 统 网 络 访问 控制 系统 的 用 户 认 证 采用 用 户 名 和 密码 组 合 方式 或 者 PIN 码 , 用 
安全 术语 来 说 ,这 些 密码 指 的 是 可 重用 密码 (reusable password)。 这 种 系统 已 经 用 了 好 
多 年 恐怕 还 要 持续 很 多 年 。 本 节 中 会 提 到 一 些 可 重用 密码 的 替代 方案 ,因为 这 种 机 制 并 
没有 随 着 新 技术 和 新 工具 的 发 展 而 有 所 更 新 。 


1. 安全 密码 


可 重用 密码 的 弱点 有 很 多 。 统 计 证 明 , 许 多 用 户 倾 向 于 使 用 弱 密 码 。 另 外 ,经 验 告 
诉 我 们 ,用 户 很 容易 就 会 违背 密码 安全 策略 中 定义 的 规则 。 例 如 ,很 多 人 习惯 与 他 人 共 
享 密码 ,还 有 很 多 密码 根本 就 没 遵 守 密 码 安全 策略 。 密 码 违背 安全 策略 要 求 的 情况 
包括 : 

(1) 用 户 自行 选择 各 种 密码 。 

(2) 违反 密码 长 度 要 求 。 

(3) 违反 密码 生命 期 要 求 。 

(4) 使 用 违规 的 字符 和 字母 (大 写 .小写 .数字 和 标点 符号 ) 。 

密码 或 PIN 码 可 以 反复 使 用 也 是 一 个 很 大 的 问题 ,如 果 不 考虑 新 技术 的 话 , 这 个 问 
题 很 难 解 决 。 

为 了 改进 可 重用 密码 的 安全 性 ,可 以 开发 和 实施 更 易于 理解 的 标准 和 策略 ,使 大 家 
都 具有 对 可 重用 密码 弱点 的 意识 。 如 今 , 有 很 多 商业 化 的 认证 机 制 可 作为 补 代 方 案 , 例 
如 ,挑战 /响应 和 时 间 同 步 机 制 , 令 牌 以 及 生物 识别 技术 。 下 面 的 密码 安全 策略 可 作为 计 
算 机 用 户 保护 密码 相关 信息 的 最 低 要 求 。 

(1) 密码 长 度 最 少 8 个 字符 。 

(2) 字符 类 型 为 大 写 和 小 写字 母 。 

(3) 字符 集 包 括 数字 、 字 母 和 特殊 字符 (如 ! @#$%-*() 十 之 类 ) 的 组 合 。 

(4) 不 要 用 字典 或 术语 表 中 的 单词 。 

(5) 不 能 连续 使 用 相同 的 字母 (如 aaaa、88888 之 类 )。 

(6) 不 要 使 用 和 个 人 信息 相关 的 数字 或 词语 (如 姓名 .生日 .工作 单位 .住址 .电话 号 
码 之 类 ) 。 

(7) 不 要 在 不 同 的 系统 中 使 用 相同 的 密码 。 


2. 创建 安全 密码 


下 面 的 方法 可 以 用 来 创建 一 个 比较 容易 记忆 但 又 相对 安全 的 密码 。 

(1) 选择 一 个 比较 熟悉 的 英文 单词 .然后 将 其 反 转 ,然后 在 其 前 面 或 后 面 加 一 些 比较 熟 
悉 的 数字 。 比 如 选择 success, 将 其 反 为 sseccus ,在 前 面 加 上 数字 ,比如 51168sseccus 等 。 

(2) 在 自己 选择 的 密码 组 合 中 加 上 至 少 1 个 特殊 字符 (诸如 e ! @# $ %*& x (0)_ 
起 

(3) 使 用 1 个 数字 替代 你 所 选择 的 作为 密码 的 英文 单词 中 的 某 个 字母 。 比 如 ,选择 
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international 作为 自己 的 密码 ,然后 用 数字 3 代替 单词 中 的 e, 即 使 用 int3rnational 作为 
密码 。 

(4) 在 选中 的 英文 单词 中 间隔 加 上 数字 。 比 如 选择 security 作为 基础 ,在 每 个 字母 
之 间 加 数字 变 成 sle3c2u4r6i5t7y。 


3. 如 何 记 忆 密码 


对 大 多 数 用 户 而 言 , 记 住 不 同 账号 的 不 同 密码 是 一 件 困难 的 事情 ,所 以 ,他 们 常常 懒 
得 去 记 , 或 是 把 密码 写 下 来 ,或 是 干脆 找 一 个 简单 好 记 但 非常 容易 被 破解 的 密码 。 实 际 
上 ,记忆 密码 并 不 是 一 件 那么 困难 的 事情 , 想 想 在 自动 提 款 机 上 取现 金 时 ,并 没有 太 多 的 
人 感到 自己 的 密码 有 和 多么 复杂 难 记 , 因 为 他 们 深 知 这 样 才 不 至 于 损失 钱财 。 如 果 每 个 用 
户 对 待 自己 或 企业 的 敏感 资料 账户 像 对 待 自 己 的 银行 现金 账户 那样 ,他 们 也 许 就 不 会 觉 
得 记忆 密码 是 那么 困难 的 一 件 事情 了 。 一 般 来 说 ,记忆 密码 不 一 定 要 死记 硬 背 ,可 以 采 
用 一 些 辅助 方法 。 

1) 联想 法 

在 一 个 人 的 记忆 过 程 中 ,联想 常常 发 挥 着 很 大 的 作用 。 在 一 个 给 定 的 时 间 段 内 ,如 
果 采 用 联想 法 帮助 记忆 ,就 能 记 住 一 些 难 记 的 电话 号 码 。 假 如 朋友 的 电话 号 码 是 
76898997, 可 以 采用 联想 法 :“ 吃 了 不 久 不 久 就 吃 ”, 这 样 不 费 多 大 劲 就 可 以 记 住 了 。 记 忆 
密码 也 是 同样 道理 ,比如 ,一 个 常 与 朋友 保持 联络 的 人 可 以 给 自己 的 邮件 信箱 创建 密码 
为 59481say88( 我 就 是 不 要 说 “拜拜 ”) ,这 样 有 趣 又 方便 。 

2) 解释 法 

例如 ,密码 Y13#tiruceS 基本 上 由 英文 单词 security 反 转 而 来 (ytiruces) ,把 反 转 后 
得 到 的 字母 第 一 个 和 最 后 一 个 字母 大 写 , 得 到 YtiruceS, 然 后 再 把 好 朋友 的 生日 日 期 放 
在 第 一 个 大 写字 母 的 后 面 , 再 加 上 一 个 特殊 字符 # ,这 样 就 建立 了 一 个 自 创 的 加 密 密 码 。 


4. 身份 认证 


身份 认证 是 网 络 安全 系统 中 的 第 一 道 关卡 ,是 网 络 安全 技术 的 一 个 重要 方面 。 身 份 
认证 机 制 限制 非法 用 户 访问 网 络 资源 ,是 其 他 安全 机 制 的 基础 ,是 最 基本 的 安全 服务 ,其 
他 的 安全 服务 都 要 依赖 于 它 。 一 旦 身份 认证 系统 被 攻破 ,那么 系统 的 所 有 安全 措施 将 形 
同 虚设 。 黑 客 攻击 的 目标 往往 就 是 身份 认证 系统 。 

身份 认证 一 般 可 分 为 用 户 与 主机 间 的 认证 和 主机 与 主机 之 间 的 认证 ,其 中 用 户 与 主 
机 间 的 身份 认证 可 以 分 为 以 下 几 种 方式 。 

1) 基于 回调 调制 解 调 器 的 认证 方式 

这 是 一 种 维护 系统 有 效用 户 表 及 其 相应 电话 号 码 的 设备 。 当 用 户 拨号 调用 系统 时 ， 
回调 调制 解 调 器 获得 用 户 的 登录 户头 , 挂 起 ,再 回头 调用 用 户 终 端 。 这 种 方法 的 优点 是 ， 
限制 只 有 电话 号 码 存 于 调制 解 调 器 中 的 人 才 是 系统 的 用 户 , 从 而 使 非法 侵入 者 不 能 从 其 
家 里 调用 系统 并 登录 。 这 个 方法 的 缺点 是 限制 了 用 户 的 灵活 性 ,并 且 仍 需要 密码 ,这 是 
因为 调制 解 调 器 不 能 仅 从 用 户 发 出 调用 的 地 方 唯一 地 标识 用 户 。 


2) 基于 SSH 密码 的 认证 方式 

基于 密码 的 认证 方式 是 最 常用 的 一 种 技术 ,但 它 存在 严重 的 安全 问题 。 它 是 一 种 单 
因素 的 认证 ,安全 性 仅 依赖 于 密码 .密码 一 旦 泄露 ,用 户 即 可 被 冒充 。 更 严重 的 是 用 户 往 
往 选择 简单 容易 被 猜测 的 密码 ,如 与 用 户 名 相同 .生日 .单词 等 。 这 个 问题 往往 成 为 安 
全 系统 最 薄弱 的 突破 口 。 密 码 一 般 是 经 过 加 密 后 存放 在 密码 文件 中 ,如 果 密 码 文件 被 窃 
取 , 那 就 可 以 进行 离线 的 字典 式 攻击 ,这 也 是 黑客 最 常用 的 手段 之 一 。 目 前 ,人 们 在 使 用 
邮箱 或 留言 板 时 所 采用 的 密码 是 十 分 容易 被 破译 的 ,尤其 是 8 位 数 以 下 的 数字 ,几乎 用 
零点 几 秒 就 可 以 破译 出 来 。 另 外 ,在 一 些 个 人 的 小 网 站 上 的 留言 板 上 发 言 时 ,发 言 密码 
不 要 使 用 和 自己 邮箱 一 样 的 密码 。 因 为 网 站 的 管理 员 可 以 轻而易举 地 看 到 你 的 密码 ,如 
果 网 管 缺乏 职业 道德 就 很 有 可 能 进入 你 的 邮箱 。 

SSH 的 英文 全 称 是 Secure SHell。 传 统 的 网 络 服务 程序 ,如 ftp、pop 和 telnet 在 本 
质 上 都 是 不 安全 的 ,因为 它们 在 网 络 上 用 明文 传送 密码 和 数据 ,别有用心 的 人 非常 容易 
就 可 以 截获 这 些 密码 和 数据 。 而 且 , 这 些 服务 程序 的 安全 验证 方式 也 是 有 弱点 的 ,就 是 
很 容易 受到 “中 间 人 ”(man-in-the-middle) 这 种 方式 的 攻击 。“ 中 间 人 ”的 攻击 方式 ,就 是 
“中 间 人 ”冒充 真正 的 服务 器 接收 你 的 传 给 服务 器 的 数据 ,然后 再 冒充 你 把 数据 传 给 真正 
的 服务 器 。 服 务 器 和 你 之 间 的 数据 传送 被 "中间 人 ”一 转手 做 了 手脚 之 后 ,就 会 出 现 很 严 
重 的 问题 。 通 过 使 用 SSH ,你 可 以 把 所 有 传输 的 数据 进行 加 密 ,这 样 “ 中 间 人 ”这 种 攻击 
方式 就 不 可 能 实现 了 ,而 且 也 能 够 防止 DNS 和 IP 欺骗 。 

SSH 密码 (passphrase) 是 使 用 一 个 短语 或 者 一 句 话 作为 密码 输入 ,由 系统 内 部 的 加 
密 或 是 散 列 算法 生成 虚拟 密码 (virtual password) 后 ,进行 下 一 步 的 认证 。 这 种 技术 的 优 
越 之 处 是 容易 记忆 ,不 易 被 破解 ,通常 人 们 设置 SSH 密码 时 都 使 用 一 些 自己 永远 记得 或 
常常 由 记 的 事物 ,可 以 是 一 句 话 ,也 可 以 是 一 组 数字 或 特殊 字符 ,比如 ilovemymother。 
尽管 由 于 SSH 密码 的 长 度 使 得 攻击 者 破解 起 来 非常 困难 ,但 是 如 果 登 录 的 设备 上 安装 
了 keylogger 之 类 的 键盘 记录 器 ,那么 ,多 长 的 SSH 密码 也 会 被 记录 下 来 。 

3) 一 次 性 密码 认证 方式 

简单 的 认证 中 只 有 名 字 和 密码 被 服务 系统 所 接受 。 由 于 明文 的 密码 在 网 上 传输 极 
容易 被 窃听 截取 ,一 般 的 解决 办 法 是 使 用 一 次 性 密码 (onertime password, OTP) 机 制 。 
这 种 机 制 的 最 大 优势 是 无 须 在 网 上 传输 用 户 的 真实 密码 ,并 且 由 于 具有 一 次 性 的 特点 ， 
可 以 有 效 防止 重 放 攻击 (replay attack)。 根 据 一 次 性 密码 生成 机 制 的 不 同 ,通常 OTP 可 
分 为 Time Synchronization 的 Secure ID( 安 全 标识 符 )、Challenge-Response 的 Crypto 
Card( 密 码 卡 ) 和 增强 的 S/Key( 安 全 密 钥 ) 等 。 

OTP 的 主要 思路 是 在 登录 过 程 中 加 入 不 确定 因素 ,使 每 次 登录 过 程 中 传送 的 信息 都 
不 相同 ,以 提高 登录 过 程 安全 性 。 例 如 ,登录 密码 二 MD5( 用 户 名 十 密码 十 时 间 ) ,系统 接 
收 到 登录 密码 后 做 一 个 验算 即 可 验证 用 户 的 合法 性 。 确 定 因子 选择 方式 大 致 有 以 下 
几 种 。 

(1) 密码 序列 (S/KEY) 密 码 : 为 一 个 单 向 的 前 后 相关 的 序列 ,系统 只 用 记录 第 N 个 
密码 。 用 户 用 第 N 一 1 个 密码 登录 时 ,系统 用 单 向 算法 算出 第 N 个 密码 与 自己 保存 的 第 
NN 个 密码 匹配 ,以 判断 用 户 的 合法 性 。 由 于 N 是 有 限 的 ,用 户 登 录 N 次 后 必须 重新 初始 
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化 密码 序列 。 

(2) 挑战 /回答 (CRYPTOCard): 用 户 要 求 登录 时 ,系统 产生 一 个 随机 数 发 送 给 用 
户 。 用 户 用 某 种 单 向 算法 将 自己 的 秘密 密码 和 随机 数 混合 起 来 发 送 给 系统 ,系统 用 同样 
的 方法 做 验算 即 可 验证 用 户 身 份 。 

(3) 时 间 同 步 (secureID): 以 用 户 登 录 时 间作 为 随机 因素 ,这 种 方式 对 双方 的 时 间 准 
确 度 要 求 较 高 ,一 般 采取 以 分 钟 为 时 间 单 位 的 折 中 办 法 。 在 SecureID 产品 中 ,对 时 间 误 
差 的 容忍 可 达 士 1 分 钟 。 

(4) 事件 同步 (safe word) : 这 种 方法 以 挑战 /回答 方式 为 基础 ,将 单 向 的 前 后 相关 序 
列 作为 系统 的 挑战 信息 ,以 节省 用 户 每 次 输入 挑战 信息 的 麻烦 。 但 当 用 户 的 挑战 序列 与 
服务 器 产生 偏差 后 ,需要 重新 同步 。 

一 次 性 密码 的 生成 方式 有 以 下 几 种 。 

(1) Token Card( 硬 件 卡 ): 用 类 似 计 算 器 的 小 卡片 计算 一 次 性 密码 。 对 于 挑战 / 回 
答 方 式 , 该 卡片 配备 有 数字 按键 ,便于 输入 挑战 值 ;对 于 时 间 同 步 方 式 , 该 卡片 每 隔 一 段 
时 间 就 会 重新 计算 密码 ;有 时 还 会 将 卡片 作成 钥匙 链 式 的 形状 , 某 些 卡片 还 带 有 PIN 保 
护 装置 。 

(2) Soft Token( 软 件 ): 用 软件 代替 硬件 , 某 些 软件 还 能 够 限定 用 户 登 录 的 地 点 。 

(3) IC 卡 : 在 IC 卡 上 存储 用 户 的 秘密 信息 ,这 样 用 户 在 登录 时 就 不 用 记忆 自己 的 秘 
密 密 码 了 。 

4) 基于 智能 卡 的 认证 方式 

智能 卡 具 有 硬件 加 密 功 能 .有 较 高 的 安全 性 。 每 个 用 户 持 有 一 张 智 能 卡 , 智 能 卡 存 
储 用 户 个 性 化 的 秘密 信息 ,同时 在 验证 服务 器 中 也 存放 该 秘密 信息 。 进 行 认证 时 ,用 户 
输入 PIN( 个 人 身份 识别 码 ) ,智能 卡 认证 PIN 成 功 后 , 即 可 读 出 智能 卡 中 的 秘密 信息 , 进 
而 利用 该 秘密 信息 与 主机 之 间 进 行 认证 。 基 于 智能 卡 的 认证 方式 是 一 种 双 因素 的 认证 
方式 (PIN 十 智能 卡 ) ,即使 PIN 或 智能 卡 被 窃取 ,用 户 仍 不 会 被 冒充 。 智 能 卡 提 供 硬 件 
保护 措施 和 加 密 算法 ,可 以 利用 这 些 功 能 加 强 安全 性 能 .例如 ,可 以 把 智能 卡 设置 成 用 户 
只 能 得 到 加 密 后 的 某 个 秘密 信息 ,从 而 防止 秘密 信息 的 泄露 。 

5) 基于 生物 特征 的 认证 方式 

这 种 认证 方式 是 以 人 体 唯 一 的 、 可 靠 的 、 稳 定 的 生物 特征 (如 指纹 .虹膜 . 脸 部 、 掌 纹 
等 ) 为 依据 ,采用 计算 机 的 强大 功能 和 网 络 技术 进行 图 像 处 理 和 模式 识别 。 基 于 生物 特 
征 识别 的 身份 鉴定 技术 具有 以 下 优点 : 不 易 遗 忘 或 丢失 ;防伪 性 能 好 ,不 易 伪造 或 被 盗 ; 
随身 携带 ,随时 随地 可 用 。 该 技术 具有 很 好 的 安全 性 、 可 靠 性 和 有 效 性 ,与 传统 的 身份 确 
认 手 段 相 比 ,无 疑 产 生 了 质 的 飞跃 。 近 几 年 来 ,全 球 的 生物 识别 技术 已 从 研究 阶段 转向 
应 用 阶段 ,使 生物 识别 技术 的 应 用 即将 成 为 可 能 。 目 前 ,国外 许多 高 技术 公司 正在 试图 
用 眼睛 虹膜 .指纹 ,面貌 特征 等 取代 人 们 手中 的 信用 卡 或 密码 ,并 且 已 经 开始 在 机 场 、 银 
行 和 各 种 电子 器 具 上 进行 了 实际 应 用 。 

更 加 详细 的 身份 认证 系统 将 在 第 7 章 论 述 。 
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为 了 对 付 内 部 产生 的 黑客 攻击 要 在 安全 管理 方面 采取 措施 。 世 界 头 号 黑客 凯 文 。 
米 特 尼克 曾经 说 :“ 不 要 太 过 于 将 注意 力 集中 在 技术 防护 ,其 实 人 是 最 容易 出 问题 的 因 
素 。” 黑 客 一 般 最 喜欢 的 佼 俩 是 采用 一 些 技术 手段 ,骗取 他 人 的 信任 ,轻松 获取 甚至 用 户 
会 自动 奉送 密码 以 及 机 密 软件 代码 。 如 果 管 理 人 员 玻 于 遵守 安全 措施 ,再 好 的 安全 设备 
也 是 形同虚设 。 所 以 ,成 功 安全 防范 体系 应 该 是 在 技术 手段 的 基础 上 ,关注 网 络 管理 人 
员 的 因素 ,加 强 内 部 管理 。 


1. 慎重 选择 网 络 系统 管理 员 


必须 慎重 选择 网 络 系统 管理 人 员 ,对 新 职员 的 背景 进行 调查 ,网 络 管理 等 要 害 岗位 
人 员 调 动 时 要 采取 相应 防护 措施 (如 及 时 更 改 密码 ) 。 

网 络 管理 人 员 要 有 高 度 的 责任 心 ,有 足够 的 安全 意识 随时 提高 警惕 不 要 轻易 相信 自 
己 的 系统 安全 已 经 是 万 无 一 失 。 网 络 运行 时 ,要 严密 监视 网 络 , 判 断 哪些 信息 是 用 户 的 ， 
哪些 信息 不 是 用 户 的 。 一 旦 发 现 正 受到 攻击 ,要 及 时 防范 减少 不 必要 的 损失 。 从 某 种 意 
义 上 说 ,网 络 安全 与 网 络 系统 管理 员 的 责任 具有 密切 的 联系 。 


2. 制定 详细 的 安全 管理 制度 


确保 每 个 职员 都 了 解 安 全 管理 制度 ,如 掌握 正确 设置 较 复杂 密码 的 要 求 ,分 清 各 岗 
位 的 职责 ,有 关 岗 位 之 间 要 能 互相 制约 ,及 时 更 新 系统 补丁 和 杀毒 软件 。 


3. 签订 法 律 文书 


企业 与 员工 签订 著作 权 转 让 合同 ,使 有 关 文 件 资料 .软件 著作 权 和 其 他 附属 资产 权 
归 企 业 所 有 ,以 避免 日 后 无 法 用 法 律 保护 企业 利益 不 受 内 部 员工 非法 侵害 。 


4. 安全 等 级 划分 


将 部 门 内 电子 邮件 资料 及 Internet 网 址 划分 保密 等 级 ,依据 等 级 高 低 采 取 相 应 的 安 
全 措施 及 给 予 不 同 的 权限 。 


5. 定期 改变 密码 


永远 不 要 对 自己 的 密码 过 于 自信 ,也 许 就 在 无 意 当 中 泄露 了 密码 。 定 期 改变 密码 ， 
会 使 自己 遭受 黑客 攻击 的 风险 降 到 一 定 限 度 之 内 。 一 旦 发 现 自己 的 密码 不 能 进入 计算 
机 系统 ,应 立即 向 系统 管理 员 报 告 ,由 管理 员 来 检查 原因 。 系 统管 理 员 也 应 定期 运行 一 
些 破译 密码 的 工具 来 尝试 , 若 有 用 户 密码 密码 被 破译 出 ,说 明 用 户 的 密码 设置 过 于 简单 
或 有 规律 可 循 ,应 尽快 地 通知 他 们 及 时 更 改 密码 。 


6. 加 强 技术 上 的 管理 
俗话 说 得 好 “没有 不 透风 的 墙 ”, 而 且 黑 客 还 可 直接 利用 80 端口 进行 攻击 或 利用 一 
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些 还 不 为 我 们 所 知 的 漏洞 进行 攻击 。 但 黑客 人 侵 电脑 肯定 会 留 下 踪迹 , 那 又 如 何 查 到 他 
们 留 下 的 蛛丝马迹 呢 ? 

1) 启动 审核 策略 

进入 “控制 面板 ”, 打 开 “ 管 理工 具 ”, 再 打开 “本 地 安全 设置 ”, 选择“ 安全 设置 "下 “本 
地 策略 "中 的 “审核 策略 ”, 双击 “审核 登录 事件 "和 “审核 对 象 访问 ”, 将 成功 ”和 “失败 ”都 
勾 选 上 ,这 样 就 开启 了 事件 记录 ,以 后 只 要 有 关于 登录 的 事件 都 会 被 记录 在 日 志 中 (如 记 
下 对 方 的 IP 甚至 用 户 名 )。 但 这 些 日 志文 件 主要 是 c:\winnt 和 c:\winnt\system32\ 目 
录 下 的 txt 文件 和 log 文件 ,还 有 c:\winnt\system32 下 logfiles 中 的 所 有 文件 ,config\ 
下 的 evt 文件 和 dtclog 下 的 所 有 文件 。 如 果 黑 客 把 这 些 文件 删除 ,那么 在 日 志 中 就 看 不 
见 任 何 东 西 了 。 当 然 如 果 日 志 里 忽然 任何 内 容 都 没有 了 那 一 定 是 被 入 侵 了 。 

2) 检查 开放 的 端口 和 利用 嗅 探 器 监视 网 络 通信 

远程 控制 型 木马 以 及 输出 shell 型 木马 大 都 会 在 系统 中 监听 某 个 端口 ,接收 从 控制 
端 发 来 的 命令 并 执行 。 通 过 检查 系统 上 开启 的 一 些 “ 奇 怪 ” 的 端口 (如 冰河 木马 默认 端口 
为 7626) ,从 而 发 现 木 马 的 踪迹 。 常 用 的 软件 有 Fport 和 Aport ,它们 可 列 出 本 地 计算 机 
所 开 的 端口 及 开启 端口 的 程序 。 如 果 还 想 了 解 黑客 的 IP, 其 至 账号 密码 和 邮箱 ,可 安装 
嗅 探 器 (Csniffer) 或 网 络 检测 工具 Tcpview. exe。 可 以 直接 查看 并 中 断 任 一 通信 进程 。 也 
可 在 CMD 里 输入 “Sniffer-pass-log mail. txt”, 就 是 截取 所 有 密码 放置 在 Mail. txt, 就 可 
以 直接 查看 这 个 文件 得 到 较为 详细 的 情报 。 

3) 检查 注册 表 

木马 为 了 能 在 开机 后 自动 运行 ,往往 在 注册 表 如 下 位 置 中 添加 注册 表 项 。 

HKEY_CURRENT_USERA Software\ Microsoft\ Windows\Currentversion\ Run 
\Runonce 

HKEY_LOCAL_MACHINE\Software\ Microsoft\ Windows\Currentversion\ Run 
\runonce 

HKEY_USERS\. Default\Software\Microsoft\Windows\Currentversion\Run 

如 果 在 以 上 项 里 发 现 有 些 程序 文件 不 是 用 户 安装 的 , 那 就 很 有 可 能 中 了 木马 。 在 
Windows 98 系统 中 ,木马 会 在 win. ini 和 system. ini 的 “run 一 ”“load 一 ”“shell 一 ”后 加 
入 自己 的 程序 名 ,而 且 有 些 木 马 程序 与 正常 的 文件 程序 很 相似 ,不 仔细 观察 很 难 发 现 。 
也 有 些 木马 会 在 系统 进程 中 留 下 足迹 ,甚至 将 自己 作为 服务 添加 到 系统 中 ,或 随机 替换 
系统 中 没 启动 的 服务 程序 来 实现 自 加 载 ,这 就 需要 对 操作 系统 的 常规 进程 和 服务 有 所 
了 解 。 

4) 手工 删除 木马 和 蠕虫 病毒 

当 发 现 可 疑 文件 时 ,最 直接 的 方法 就 是 运行 防毒 软件 (最 好 是 利用 实时 监控 进来 一 
个 杀 一 个 )。 好 的 杀毒 软件 不 仅 能 杀 掉 一 些 著名 的 病毒 ,还 能 查 杀 大 量 的 木马 程序 。 这 
样 ,那些 黑客 们 使 用 的 有 名 的 木马 (如 冰河 、 灰 合子. 广 外 女生 ) 就 毫 无 用 武之 地 。 不 过 不 
要 忘 了 经 常 升级 病毒 库 。 还 有 就 是 利用 查 杀 木马 软件 木马 克星 和 360 安全 卫士 。 

但 新 木马 的 产生 总 是 会 在 杀 木 马 软 件 之 前 ,这 就 需要 进行 手工 删除 。 对 于 查 到 的 可 
疑 文件 不 能 立即 删除 ,因为 只 是 可 疑 而 已 (而 且 有 的 木马 是 依附 在 某 些 文件 上 的 )。 首 先 


要 备份 可 疑 文 件 和 注册 表 ( 可 直接 在 注册 表 编 辑 器 中 的 “注册 表 ” 菜 单 中 “导出 注册 表 文 
件 ” 进 行 备份 )。 对 于 可 疑 文件 可 通过 ULTRAEDIT32 编辑 器 查看 文件 首部 信息 ,通过 
可 疑 文件 里 的 明文 字符 对 木马 有 一 大 臻 了解, 最 后 删除 “木马 ”文件 及 注册 表 中 的 键 值 ， 
如 提示 文件 正在 运行 无 法 删除 , 则 重启 进入 安全 模式 再 删 。 

如 果 杀 毒 软件 不 能 清除 蠕虫 病毒 ,就 只 能 根据 蠕虫 病毒 的 工作 机 理 手工 清除 了 , 当 
然 这 种 方法 要 求 用 户 具有 较 高 的 计算 机 方面 的 知识 与 技能 。 首 先 , 要 根据 蠕虫 病毒 利用 
的 漏洞 类 型 给 系统 打 相 应 的 补丁 ,以 免 计 算 机 再 次 遭受 蠕虫 的 攻击 。 其 次 ,打开 任务 管 
理 器 根据 蠕虫 病毒 的 名 称 查 找 病毒 进程 ,找到 后 直接 结束 该 进程 。 由 于 蠕虫 病毒 为 了 每 
次 计算 机 重启 后 都 能 获得 计算 机 的 控制 权 , 所 以 ,进入 计算 机 的 蠕虫 病毒 会 修改 计算 机 
的 注册 表 ,并 建立 自己 的 注册 表 项 ,所 以 ,要 删除 该 病毒 的 注册 表 项 。 最 后 ,根据 注册 表 
提供 的 信息 找到 病毒 文件 并 删除 。 

另外 ,对 于 Windows 98 用 户 的 安全 管理 可 以 通过 加 强 用 户 登录 的 安全 性 、 使 用 用 户 
自 定义 的 桌面 配置 和 实施 用 户 策略 来 实现 。 

5) ARP 欺骗 的 防御 

针对 ARP 欺骗 的 方法 和 危害 ,初步 的 防御 方法 如 下 : 

(1) 不 要 把 网 络 安全 信任 关系 建立 在 IP 地 址 的 基础 上 或 硬件 MAC 地 址 基础 上 ， 
(RARP 同样 存在 欺骗 的 问题 ) ,理想 的 关系 应 该 建立 在 IP 十 MAC 基础 上 。 

(2) 设置 静态 的 MAC 与 IP 对 应 表 , 不 要 让 主机 刷新 设 定好 的 转换 表 。 

(3) 除非 很 有 必要 ,否则 停止 使 用 ARP. 将 ARP 作为 永久 条 目 保存 在 对 应 表 中 。 在 
Linux 下 可 以 用 ifconfig-arp 可 以 使 网 卡 驱动 程序 停止 使 用 ARP。 

(4) 使 用 代理 网 关 发 送 外 出 的 通信 。 

(5) 修改 系统 拒 收 ICMP 重 定向 报 文 。 

(6) 在 Linux 下 可 以 通过 在 防火 墙 上 拒绝 ICMP 重 定向 报 文 或 是 修改 内 核 选项 重新 
编译 内 核 来 拒绝 接收 ICMP 重 定向 报 文 。 

(7) 在 Windows 2000 下 可 以 通过 防火 墙 和 IP 策略 拒绝 接收 ICMP 报 文 。 


637 个 人 计算 机 系统 安全 


个 人 计算 机 系统 的 安全 是 网 络 安 全 保障 的 重要 组 成 部 分 ,每 个 计算 机 用 户 对 自己 使 
用 的 计算 机 系统 除了 常规 的 系统 安全 措施 .如 启用 操作 系统 自 带 的 防火 墙 \ 启 用 自动 更 
新 功能 、 打 补丁 、 安 装 并 经 常 更 新 杀 病 毒 软件 ( 千 万 不 要 同时 启用 两 套 以 上 的 杀 病 毒 软 
件 ) 安装 杀 木 马 软件 以 及 养 成 良好 上 网 习惯 以 外 ,还 应 注意 以 下 方面 。 


1. 密码 安全 


计算 机 用 户 在 选取 密码 时 应 尽量 避免 使 用 不 安全 的 密码 ,要 选择 不 易 被 破解 的 安全 
的 密码 。 容 易 选 择 而 且 又 缺乏 安全 性 的 密码 包括 以 下 几 种 。 

(1) 使 用 与 用 户 名 相同 的 密码 ,或 使 用 用 户 名 的 变换 形式 作 密码 。 这 样 做 的 优点 就 
在 于 密码 不 容易 遗忘 ,但 它 的 缺点 也 很 明显 ,这 是 一 个 典型 的 “ 弱 密 码 ”。 

(2) 使 用 生日 作为 密码 。 很 多 用 户 为 了 便于 记忆 选择 6 一 8 位 的 生日 作为 密码 ,看 起 
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来 有 1 000 000 或 100 000 000 种 不 同 的 选择 ,但 事实 上 ,考虑 到 年 份 的 选择 一 般 只 是 19 
开头 ,而 月 份 只 有 12 种 选择 ,日 期 的 选择 也 只 有 31 种 ,所 以 可 以 选择 的 密码 只 有 12 X 31 
X100 二 37200 种 。 如 果 再 考虑 到 实际 使 用 计算 机 的 用 户 的 年 龄 限制 ,比如 从 10 一 70 岁 ， 
那么 这 种 密码 的 选择 基数 会 更 小 ,搜索 的 时 间 可 以 更 短 。 

(3) 使 用 常用 的 英文 单词 作为 密码 。 

(4) 使 用 较 短 的 字符 串 作 为 密码 ,比如 选择 8 位 以 下 的 字符 串 作 密码 。 

要 选择 安全 有 效 的 密码 ,应 该 遵循 以 下 规则 。 

(1) 选择 长 的 密码 ,密码 越 长 ,黑客 猜 中 的 可 能 性 就 越 低 。 

(2) 最 好 的 密码 包括 大 小 写 英文 字母 和 数字 的 组 合 , 比 如 SB6xgz7v。 

(3) 定期 更 换 密码 。 原 则 上 ,所 有 的 密码 都 是 可 能 被 破解 ,只 是 所 费时 间 的 长 短 不 同 
而 已 。 所 以 ,一 个 相对 安全 的 密码 要 配 上 3 一 6 个 月 更 换 一 次 的 安全 制度 才 是 真正 安 
全 的 。 

另外 在 使 用 密码 的 过 程 中 要 注意 以 下 事项 。 

(1) 不 要 将 密码 写 下 来 ,或 存放 于 存储 器 中 。 

(2) 不 要 在 不 同系 统 上 使 用 同一 个 密码 。 

(3) 不 要 让 其 他 人 看 见 自 己 输入 密码 。 

(4) 如 果 密 码 在 网 上 传输 , 则 应 对 密码 加 密 或 在 系统 中 安装 相关 软件 或 硬件 来 使 用 
一 次 性 密码 。 


2. QQ 的 安全 


QQ 是 国内 最 成 功 的 即时 通信 软件 ,其 合理 的 设计 、 良 好 的 易 用 性 、 强 大 的 功能 和 稳 
定 高 效 的 系统 运行 ,赢得 了 用 户 的 青睐 。QQ 用 户 群 已 成 为 中 国 最 大 的 互联 网 注册 用 户 
群 。 作 为 一 种 即时 工具 , QQ 采用 的 是 C/S 模型 ,使 用 的 是 UDP 协议 。 和 TCP 相 比 ， 
UDP 本 身 是 不 可 靠 的 ,可 被 轻易 地 伪造 。 使 用 TCP 的 软件 必须 自身 在 两 端 进行 可 靠 性 
检测 。 但 和 TCP 相 比 ,UDP 资源 占用 小 ,这 也 是 QQ 选择 UDP 的 主要 原因 。 在 QQ 的 
传输 中 ,数据 是 以 明文 的 形式 发 送 的 ,也 就 是 说 ,一 个 窃听 者 能 直接 偷 听 到 经 过 他 的 所 有 
QQ 信息。 所 以 ,虽然 QQ 功能 实用 不 花哨 .但 在 安全 性 方面 还 有 很 多 需要 用 户 警 惕 之 
处 。 下 面 介 绍 几 种 常见 的 QQ 攻击 和 防御 方法 。 

1) 在 QQ 中 显示 对 方 的 IP 地 址 

虽然 严格 意义 上 讲 , 在 QQ 中 显示 对 方 的 IP 地 址 并 不 算 黑客 攻击 ,但 是 通过 获得 对 
方 的 了 P 地 址 ,可 为 进一步 的 攻击 (比如 QQ 消息 炸弹 ) 做 准备 。 所 以 ,在 使 用 QQ 时 应 尽 
量 避 免 IP 地 址 和 端口 号 泄露 。 有 具体 的 安全 建议 如 下 : 在 QQ 的 个 人 设置 里 修改 身份 默 
认 值 为 "需要 身份 验证 才能 把 我 加 为 好 友 ”, 在 QQ 参数 设置 中 .选择 “拒绝 陌生 人 消息 ”， 
这 样 可 以 避免 与 攻击 者 进行 直接 通信 。 通 过 代理 服务 器 上 QQ 或 隐身 登录 QQ。 通 过 代 
理 服务 器 上 QQ ,可 以 隐藏 自己 的 IP 地 址 ,而 攻击 者 所 看 到 的 IP 地 址 只 是 代理 服务 器 的 
IP 地 址 。 隐 身 登 录 QQ 后 发 送 的 消息 是 通过 QQ 服务 器 中 转 的 ,这 样 ,攻击 者 只 能 获得 
QQ 服务 器 的 IP 地 址 。 使 用 一 些 隐 藏 IP 地 址 的 工具 软件 把 IP 地 址 隐藏 起 来 :比如 ,使 
用 天 网 个 人 防火 墙 来 防止 外 部 计算 机 探测 本 机 IP 地 址 。 
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2) QQ 密码 破解 

QQ 密码 的 破解 方法 分 为 在 线 破解 和 非 在 线 破解 。 在 线 破解 是 指 到 QQ 的 验证 服务 
器 中 直接 破解 密码 ,其 他 破解 方法 都 统称 为 非 在 线 破解 。 破 解 QQ 密码 最 常用 和 有 效 的 
方法 就 是 在 线 破解 QQ 密码 。 在 线 破解 的 工具 有 很 多 ,其 中 QQPH 在 线 破解 大 王 、 天 空 
葵 QQ 密码 探索 者 和 QQExplorer 是 三 个 最 有 名 的 工具 ,并 称 为 三 大 QQ 扫 号 工具 。 这 
三 个 QQ 扫 号 工具 在 许多 黑客 网 站 都 可 以 下 载 ,除了 拥有 界面 友好 和 操作 方便 的 特点 之 
外 ,还 有 一 大 共同 的 特点 就 是 都 使 用 密码 穷 举 法 来 猜测 密码 。 如 果 在 QQ 密码 在 线 破解 
工具 的 密码 字典 中 没有 某 个 QQ 号 的 正确 密码 ,那么 这 个 QQ 号 码 的 密码 就 不 会 被 扫描 
到 ,所 以 针对 QQ 在 线 密 码 破解 安全 建议 如 下 : 

(1) 注意 QQ 密码 的 长 度 和 复杂 性 ,设置 一 个 长 的 复杂 的 密码 将 会 使 破解 的 难度 大 
大 增强 。 

(2) 到 腾讯 的 网 站 申请 密码 保护 。 为 了 防止 QQ 密码 被 破解 ,QQ 号 码 被 盗用 ,腾讯 
提供 了 QQ 密码 的 保护 ,网 址 为 http://service. tencent. com/reg/register. shtml。 

多 数 的 QQ 密码 是 在 本 机 被 攻破 的 ,进行 QQ 密码 非 在 线 破 解 的 工具 同样 也 有 很 
多 ,比如 密码 瞬间 破解 器 和 QQ 木马 程序 。 针 对 QQ 非 在 线 密码 破解 的 安全 建议 如 下 : 

(1) 登录 QQ 时 ,不 要 让 计算 机 记 住 密码 ,也 不 要 在 QQ 系统 参数 设置 中 选择 “不 出 

(2) 在 公共 场合 使 用 QQ 后 ,要 删除 以 QQ 号 为 名 的 文件 夹 或 立即 更 改 自己 的 QQ 

(3) 使 用 木马 查 杀 工 具 来 消除 计算 机 中 的 QQ 木马 程序 。 

3) QQ 消息 炸弹 

这 种 攻击 就 是 向 远程 的 在 线 QQ 用 户 自动 发 送 大 量 的 消息 ,从 而 使 远程 的 QQ 用 户 
疲 于 应 付 这 些 消息 ,无 法 进行 正常 QQ 操作 的 攻击 方法 。 这 种 攻击 方法 主要 有 两 种 形 
式 : 一 种 是 在 对 话 模式 中 ,利用 工具 软件 向 对 方 发 送 消息 炸弹 ; 另 一 种 是 指定 远程 QQ 用 
户 对 应 的 IP 地 址 和 端口 号 ,然后 利用 工具 软件 发 送 消息 炸弹 。 这 主要 是 利用 UDP 数据 
通信 不 需要 验证 确认 的 弱点 ,只 要 拿 到 用 户 的 IP 地 址 和 QQ 通信 端口 即 可 发 动 攻击 。 
针对 QQ 消息 炸弹 的 安全 建议 如 下 : 

(1) 在 QQ 的 个 人 设置 中 设置 需要 身份 验证 才能 把 我 加 为 好 友 ”, 以 防止 陌生 人 的 
攻击 。 

(2) 若是 来 自 好 友 的 “ 友 炸 ”, 应 按 下 Ctrl 十 Alt 十 Del 组 合 键 杀 死 QQ 进程 ,并 将 恶意 
好 友 删 除 。 

(3) 在 QQ 参数 设置 中 ,选择 “拒绝 陌生 人 消息 ” ,这样 可 以 避免 被 垃圾 信息 所 骚扰 。 


3. 电子 邮件 的 安全 


随 着 网 络 的 普及 ,几乎 每 个 上 网 的 人 都 拥有 一 个 或 一 个 以 上 的 邮箱 ,电子 邮箱 正成 
为 人 们 工作 和 生活 中 不 可 缺少 的 一 部 分 。 对 于 电子 邮件 的 攻击 主要 有 电子 邮箱 的 密码 
破解 与 电子 邮件 炸弹 两 种 。 有 很 多 工具 能 窃取 电子 邮箱 的 密码 ,如 Emailcrack、 黑 雨 
POP3 邮箱 密码 暴力 破解 器 、 溯 雪 Web 探测 器 和 流光 等 。 这些 电子 邮箱 的 入 侵 实际 上 都 
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是 一 种 密码 破解 攻击 方法 。 所 以 ,对 于 这 种 攻击 的 防御 就 是 按 前 述 密码 安全 中 所 描述 的 
方法 选择 安全 的 密码 即 可 。 电 子 邮 件 炸 弹 ,英文 是 E-mail Bomb, 它 是 指 那些 自身 体积 
( 字 节 数 ) 超 过 了 信箱 容量 的 电子 邮件 ,或 者 由 服务 器 短 时 间 内 连续 不 断 地 向 同一 个 信箱 
发 送 大 量 的 电子 邮件 。 邮 件 炸 弹 可 以 说 是 目前 网 络 中 很 “流行 "的 一 种 恶作剧 。 当 某 人 
所 作 所 为 引起 了 好 事 者 不 满 时 ,好 事 者 就 可 以 通过 这 种 手段 来 发 动 进攻 。 这 种 攻击 手段 
不 仅 会 干扰 用 户 的 电子 邮件 系统 的 正常 使 用 ,甚至 它 还 能 影响 到 邮件 系统 所 在 的 服务 器 
系统 的 安全 ,造成 整个 网 络 系统 全 部 瘫痪 ,所 以 ,邮件 炸弹 也 有 很 大 的 危害 。 

邮件 炸弹 可 以 大 量 消耗 网 络 资源 ,常常 导致 网 络 堵塞 ,使 大 量 的 用 户 不 能 正常 地 工 
作 。 通 常 网 络 用 户 的 信箱 容量 是 很 有 限 的 ,在 有 限 的 空间 中 ,如 果 用 户 在 短 时 间 内 收 到 
成 千 上 万 封 电子 邮件 ,那么 经 过 一 轮 邮 件 炸弹 又 炸 后 的 电子 邮件 的 总 容量 就 把 用 户 有 限 
的 阵地 挤 垮 。 导 致 用 户 的 邮箱 中 将 没有 多 余 的 空间 接纳 新 邮件 ,新 邮件 将 会 被 丢失 或 者 
被 退回 ,使 得 用 户 的 邮箱 失去 作用 。 另 外 ,邮件 炸弹 所 携带 的 大 容量 信息 不 断 在 网 络 上 
来 回 传输 ,很 容易 堵塞 带宽 并 不 富裕 的 传输 信道 ,这 样 会 加 重 服务 器 的 工作 强度 ,减缓 了 
处 理 其 他 用 户 的 电子 邮件 的 速度 ,从 而 导致 了 整个 过 程 的 延迟 。 现 在 ,已 经 有 很 多 种 能 
自动 产生 邮件 炸弹 的 软件 程序 ,如 Kaboom! 邮件 炸弹 或 Haktek 邮件 炸弹 。 

要 防范 邮件 炸弹 的 攻击 ,首先 不 要 将 自己 的 邮箱 地 址 到 处 传播 , 且 最 好 用 POP3 收 
信 。 可 以 用 Outlook Express 或 Fox mail 等 POP3 收 信 工具 收取 邮件 。 以 Outlook 
Express 为 例 , 可 以 选择 "工具 一 邮件 规则 一 邮件 ,在 弹出 的 “新 建 邮 件 规则 ”窗口 中 对 符 
合 条 件 的 邮件 设置 处 理 方式 。 若 想 过 滤 超 过 1024KB 的 邮件 ,可 以 在 上 述 的 窗口 中 的 
“1. 选择 规则 条 件 ” 里 选择 “ 若 邮件 长 度 大 于 指定 的 大 小 ”, 在 “2. 选择 规则 操作 ”里 选择 
“从 服务 器 上 删除 ”, 如 图 6-17 所 示 ,然后 在 “3. 规则 描述 ”里 单 击 "指定 的 大 小 ”, 在 弹出 的 
窗口 中 输入 1024 后 如 图 6-18 所 示 , 单 击 “确定 "按钮 ,再 分 别 单 击 * 新 建 邮 件 规则 ?窗口 和 
“邮件 规则 ”窗口 的 “确定 ”按钮 即 可 。 


请 首先 选择 条 件 和 操作 ， 然 后 在 描述 中 指定 值 。 
1 .选择 规则 条 件 C); 


口 车 邮件 标记 为 忧 先 级 
口 若 邮件 来 自 指定 的 帐户 


回 若 邮 件 长 度 大 于 指定 的 大 小 

癌 车 归 件 带 有 附 忻 

2， 选 择 规则 操作 (A); 

国 停止 处 理 其 它 规则 

国 不 要 从 服务 器 下 载 

回 


3， 规 则 描述 ( 单 击 带 下 划 | 的 值 可 以 进行 编辑 ) @) 
邮件 到 这 后 应 用 本 规则 
若 邮件 长 度 大 于 指定 的 大 小 
从 服务 器 上 删除 


4， 规 则 名 称 @g) ; 
新 建 邮件 规则 加 


6-17 ”Outlook Express 新 建 邮件 规则 窗口 6-18 设置 接收 邮件 大 小 的 窗口 
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当 有 人 不 停 攻 击 一 个 邮箱 时 ,可 以 先 打开 一 封 信 , 查 看 对 方 地 址 ,然后 在 收 件 工具 的 
过 滤器 中 选择 不 再 接收 来 自 这 个 地 址 的 信 ,直接 从 服务 器 上 删除 。 

在 收 邮件 时 ,一 旦 看 见 邮件 列表 的 数量 超过 平时 正常 数量 的 若干 倍 ,应 当 马上 停止 
下 载 邮 件 ,然后 从 服务 器 删除 炸弹 邮件 。 可 以 使 用 * 砍 信 机 ?工具 或 E-mail chomper 等 软 
件 , 帮 助 用 户 快速 删除 炸弹 邮件 。 另 外 ,一 旦 被 E-mail 炸弹 攻击 ,可 以 马上 通知 邮件 服务 
器 的 管理 员 ,请 他 删 掉 炸弹 邮件 。 

安装 电子 邮件 过 滤器 也 能 有 效 地 阻止 电子 邮件 的 攻击 。 现 在 大 多 数 电子 邮件 服务 
器 已 带 有 邮件 过 滤 功 能 。 


4. 修改 注册 码 防 范 黑 客 程序 


病毒 ,木马 ,后门 以 及 黑客 这 些 程序 感染 计算 机 的 一 个 共同 特点 是 在 注册 表 中 写 入 
信息 ,来 达到 如 自动 运行 .破坏 和 传播 等 目的 。 通 过 修改 注册 表 来 对 付 病毒 木马、 后 门 
以 及 黑客 程序 ,保证 个 人 计算 机 的 安全 。 以 下 是 修改 注册 表 防 御 常 见 木马 攻击 的 方法 。 

1) 预防 Acid Battery v1.0 木马 的 破坏 

若 在 HKEY_LOCAL _ MACHINE\Software\Microsoft\Windows\CurrentVersion\ 
RunServices 下 右边 窗口 中 发 现 了 Explorer 键 值 , 则 说 明 中 了 Acid Battery 木马 ,将 它 
删除 。 

2) 预防 YAI 木马 的 破坏 

若 在 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ 
RunServices 下 右边 窗口 中 发 现 了 Batterieanzeige 键 值 , 则 说 明 中 了 YAI 木马 ,将 它 
删除 。 

3) 预防 Eclipse 2000 木马 的 破坏 

若 在 HKEY_LOCAL _MACHINE\Software\Microsoft\Windows\CurrentVersion\ 
RunServices 下 右边 窗口 中 发 现 了 bybt 键 值 ,将 它 删 除 ,然后 在 HKEY_LOCAL _ 
MACHINE\Software\ Microsoft\ Windows\CurrentVersion\RunServices 下 删除 右边 的 
cksys 键 值 ,重新 启动 电脑 。 

4) 预防 BO2000 的 破坏 

若 在 HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\ 
RunServices 下 右边 窗口 中 发 现 了 umgr32. exe 键 值 , 则 说 明 中 了 BO2000, 将 它 删 除 。 

5) 预防 爱 虫 的 破坏 

若 在 HKEY_LOCAL_ MACHINE\Software\Microsoft\Windows\CurrentVersion\ 
Run 下 右边 窗口 中 发 现 了 MSKernel32 键 值 .将 它 删 除 。 

6) 禁止 出 现 下 菜单 中 “工具 ” 栏 里 “internet 选项 ” 

把 c:\windows\system 下 的 inetcpl. cpl 文件 更 名 为 inetcpl. old 或 别 的 名 字 , 会 出 现 
禁止 使 用 的 情况 。 再 把 名 字 换 回来 ,就 可 以 恢复 使 用 了 。 

7) 预防 BackDoor 的 破坏 

如 在 HKEY_LOCAL MACHINE\Software\Microsoft\Windows\CurrentVersion\ 
Run 下 右边 窗口 中 发 现 了 Notepad 键 值 ,将 它 删 除 。 
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8) 预防 WinNuke 的 破坏 

在 HKEY_LOCAL_MACHINEA SystemA CurrentControlSet \ Services \ VxD\ 
MSTCP 下 右边 窗口 中 新 建 或 修改 字符 串 BSDUrgent, 设 其 值 为 0。 

9) 预防 KeyboardGhost 的 破坏 

如 在 HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ 
CurrentVersion\RunServices 下 发 现 KG. EXE 这 一 键 值 , 将 它 删除 。 查 找 KG. exe 文件 
和 kg. dat 文件 ,将 它们 都 删除 。 

10) 查找 NetSpy 黑客 程序 

在 HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ 
CurrentVersion\Run 下 右边 窗口 中 寻找 NetSpy 键 。 如 果 存在 ,就 说 明 已 经 装 了 NetSpy 
黑客 程序 ,把 它 删除 。 

11) 清理 访问 “网 上 邻居 ”后 留 下 的 字句 信息 

在 HEKY_CURRENT_USER/Network/Recent 下 删除 里 面 的 主键 。 

12) 取消 登录 时 自动 拨号 

在 HKEY _ LOCAL _ MACHINE/SOFTWARE/Microsoft/Windows/ 
CurrentVersion/ Network/RealModeNet 下 修改 右边 窗口 中 的 autologon 键 值 为 01 00 
00 00 00 。 

13) 取消 登录 时 选择 用 户 

已 经 删除 了 所 有 用 户 ,但 登录 时 还 要 选择 用 户 。 要 取消 登录 时 选择 用 户 ,就 要 在 
HKEY_LOCAL_MACHINE\ Network\Logon 下 右边 窗口 中 修改 UserProfiles 键 值 
为 0。 

14) 隐藏 上 机 用 户 登录 的 名 字 

在 HKEY_LOCAL_MACHINE\Software\Microsoft\ Windows\CurrentVersion\ 
Winlogon 下 右边 窗口 中 新 建 字符 串 DontDisplayLastUserName, 设 值 为 1。 

目前 ,黑客 攻击 对 网 络 安全 的 威胁 已 经 成 为 最 主要 的 形式 ,本 章 首先 对 黑客 的 类 型 、 
行为 特征 .黑客 攻击 的 目的 .黑客 的 攻击 过 程 以 及 攻击 方式 做 了 较为 详细 的 论述 。 在 此 
基础 上 对 黑客 进行 网 络 攻击 所 采用 的 主要 的 技术 手段 ,如 端口 攻击 漏洞 攻击 、 网 络 监 
听 密码 攻击 、 木 马 攻 击 、 病 毒 与 蠕虫 攻击 .缓存 溢出 攻击 以 及 常见 的 其 他 攻击 手段 ,在 原 
理 、 实 施 的 方式 以 及 攻击 实施 的 过 程 都 进行 了 详细 的 分 析 。 从 上 述 的 论述 中 可 以 知道 ， 
黑客 是 利用 网 络 存在 的 各 种 漏洞 和 缺陷 进行 全 方位 攻击 的 ,因此 ,对 黑客 的 防范 也 必须 
从 网 络 安全 整体 防范 的 角度 出 发 ,主要 是 堵 住 漏洞 ,包括 网 络 设备 .网络 应 用 服务 器 的 操 
作 系 统 方面 的 漏洞 .再 结合 主动 防范 意识 ,部 署 防火 墙 .攻击 检测 以 及 身份 认证 系统 ,加 
强 内 部 管理 ,同时 注意 加 强 个 人 用 户 的 安全 行为 的 培养 .如 注意 保护 自己 的 密码 ,保护 自 
己 的 计算 机 操作 系统 的 安全 。 这 样 才能 够 在 与 黑客 的 对 抗 中 处 于 相对 的 主动 地 位 。 


习 题 6 


(1) 什么 是 黑客 ? 通常 有 哪 几 种 类 型 ? 
(2) 黑客 的 攻击 方式 有 哪些 ? 
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(3) 黑客 攻击 的 过 程 有 哪些 ? 其 作用 是 什么 ? 

(4) 有 哪些 端口 是 黑客 攻击 经 常 采 用 的 ? 如 何 采 取 措 施 ? 

(5) 密码 攻击 是 如 何 进 行 的 ?如 何在 日 常 工作 中 保证 密码 安全 ? 

(6) 网 络 监听 的 原理 是 什么 ? 其 目的 是 什么 ? 

(7) 木马 的 工作 原理 是 什么 ? 它 有 什么 特征 ? 

(8) 如 何 通 过 修改 注册 表 来 达到 防范 木马 程序 的 目的 ? 

(9) 蠕虫 与 病毒 的 区 别 是 什么 ?如何 防范 蠕虫 攻击 ? 

(10) 参考 1. 2.4 节 , 说 明 缓 存 溢出 的 原理 是 什么 ”如 何 防止 出 现 缓存 溢出 攻击 ?7 
(11) 拒绝 服务 攻击 有 哪 几 种 主要 类 型 ? 

(12) 个 人 用 户 应 该 在 哪 几 方面 注意 黑客 攻击 ? 
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建立 一 个 安全 的 网 络 , 需 要 从 多 方面 人 手 , 要 加 强 主 机 本 身 的 安全 ,减少 漏洞 ;要 用 
系统 漏洞 检测 软件 定期 对 网 络 内 部 系统 下 扫描 分 析 , 找 出 可 能 存在 的 安全 隐患 ;要 建立 
完善 的 访问 控制 措施 ,安装 防火 墙 ,加 强 授权 管理 和 认证 ;要 在 线 监 控 非 法 入 侵 和 异常 行 
为 ,实时 报警 和 切断 非法 行为 ;要 加 强 数据 备份 、 容 灾 和 数据 恢复 措施 ;要 对 敏感 的 设备 
和 数据 建立 隔离 措施 ;要 在 公共 网 络 上 传输 敏感 数据 要 用 专用 信道 和 加 密 ; 要 加 强 内 部 
网 的 整体 防 病毒 措施 ;要 建立 详细 的 安全 日 志 审 计 等 。 

本 章 将 对 上 述 涉及 的 技术 和 安全 设备 在 基本 工作 原理 、 类 型 、 选 购 因 素 和 配置 进行 
详细 的 论述 。 


71 防 大 墙 


防火 墙 是 指 设置 在 不 同 网 络 ( 如 可 信任 的 企业 内 部 网 和 不 可 信 的 公共 网 ) 或 网 络 安 
全 域 之 间 的 一 系列 部 件 的 组 合 。 它 是 不 同 网 络 或 网 络 安全 域 之 间 信 息 的 唯一 出 入 口 , 通 
过 监测 \ 限 制 、 更 改 跨越 防火 墙 的 数据 流 , 尽 可 能 地 对 外 部 屏蔽 网 络 内 部 的 信息 、 结 构 和 
运行 状况 ,有 选择 地 接受 外 部 访问 ,对 内 部 强化 设备 监管 .控制 对 服务 器 与 外 部 网 络 的 访 
问 , 通 过 在 被 保护 网 络 和 外 部 网 络 之 间架 起 一 道 屏障 ,来 防止 发 生 不 可 预测 的 、 潜 在 的 破 
坏 性 侵入 。 因 此 ,对 用 户 来 讲 , 防 火 墙 一 般 是 部 署 在 公共 的 不 可 信 的 互联 网 与 用 户 可 信 
的 内 部 网 之 间 ,比较 好 的 是 进一步 把 用 户 的 内 部 网 用 防火 墙 分 隔 为 用 户外 部 网 ( 非 军事 
区 DMZ) 和 用 户 内 部 网 ,其 中 用 户外 部 网 主要 用 于 提供 给 外 部 访问 的 服务 器 ,而 内 部 网 
主要 是 提供 给 内 部 访问 的 服务 器 ,部 署 原理 如 图 7-1 所 示 。 


内 部 主机 
网 络 区 部 防火 墙 网 络 区 部 防火 墙 网 络 - 
设备 设备 设备 内 部 主机 


对 外 服务 器 对 内 服务 器 
A 用 户外 部 网 (DMZ 区 ) | 用户 四 
7-1 防火 墙 应 用 的 典型 部 署 
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防火 墙 有 硬件 防火 墙 和 软件 防火 墙 两 种 ,它们 都 能 起 到 保护 作用 并 筛选 出 网 络 上 的 
攻击 者 。 而 对 于 企业 网 络 环 境 的 实际 应 用 来 说 ,更 为 常见 的 是 拥有 更 全 面 、 更 高 效 、 更 完 
整 的 安全 性 能 的 硬件 防火 墙 。 


711 防火 墙 概述 


1. 防火 墙 原 理 


防火 墙 常 用 的 安全 控制 手段 主要 有 包 过 滤 、 状 态 检测 、 代 理 服务 。 透 明 且 传 输 性 能 
高 的 包 过 滤 技 术 是 一 种 简单 有 效 的 安全 控制 技术 。 包 过 滤 技 术 通 过 在 网 络 间 相 互 连 接 
的 设备 上 加 载 允 许 、 禁 止 来 自 某 些 特 定 的 源 地 址 、 目 的 地 址 、TCP 端口 号 等 规则 ,对 通过 
设备 的 数据 包 进行 检查 ,限制 数据 包 进 出 内 部 网 络 。 由 于 安全 控制 层次 在 网 络 层 和 传输 
层 ,安全 控制 的 力度 也 只 限于 源 地 址 .目的 地 址 和 端口 号 ,因而 只 能 进行 较为 初步 的 安全 
控制 ,对 于 恶意 的 拥塞 攻击 .内存 覆盖 攻击 或 病毒 等 高 层次 的 攻击 手段 , 则 无 能 为 力 。 

状态 检测 是 比 包 过 滤 更 为 有 效 的 安全 控制 方法 。 对 新 建 的 应 用 连接 ,状态 检测 检查 
预先 设置 的 安全 规则 ,允许 符合 规则 的 连接 通过 ,并 在 内 存 中 记录 下 该 连接 的 相关 信息 ， 
生成 状态 表 。 对 该 连接 的 后 续 数 据 包 ,只 要 符合 状态 表 , 就 可 以 通过 。 由 于 采用 了 记录 
生成 状态 表 的 做 法 ,检测 时 可 直接 通过 散 列 算法 检测 后 续 数据 包 , 使 性 能 得 到 较 大 提高 ， 
加 上 状态 表 是 动态 的 ,因而 可 以 有 选择 地 动态 地 开通 1024 号 以 上 的 端口 ,使 得 安全 性 
得 到 进一步 地 提高 。 


2. 使 用 防火 墙 的 意义 


当 机 构 的 内 部 数据 和 网 络 设施 暴露 给 Internet 上 的 黑客 时 ,网 络 管理 员 越 来 越 关 心 
网 络 的 安全 。 为 了 提供 所 需 级 别 的 保护 ,机 构 需 要 有 安全 策略 来 防止 非法 用 户 访 问 内 部 
网 络 上 的 资源 和 非法 向 外 传递 内 部 信息 。 即 使 一 个 机 构 没 有 连接 到 Internet 上 , 它 也 需 
要 建立 内 部 的 安全 策略 来 管理 用 户 对 部 分 网 络 的 访问 ,并 对 敏感 或 秘密 数据 提供 保护 。 
如 果 没 有 防火 墙 的 话 , 可 能 会 接 到 许 许多 多 类 似 的 报告 。 例 如 ,公司 的 内 部 财政 报告 刚 
刚 被 发 向 2 万 个 E-mail 地址 ,或 者 主页 被 人 链接 到 了 Playboy. 而 销售 报告 链接 却 指向 了 
Penthouse。 如 果 内 部 网 络 联 入 了 互联 网 的 话 , 最 好 提前 考虑 这 些 问 题 ,黑客 可 能 会 攻击 
任何 感 兴趣 的 系统 。 现 在 随 着 电子 商务 和 网 上 交易 的 快速 增长 ,保障 信息 的 机 密 性 、 完 
整 性 、 可 用 性 和 可 控 性 就 是 至 关 重 要 的 ,而 防火 墙 就 是 一 个 比较 好 的 解决 力 案 。 但 是 防 
火 墙 不 可 能 做 到 万 无 一 失 , 它 不 是 解决 所 有 网 络 安全 问题 的 万 能 药方 ,只 是 网 络 安全 政 
策 和 策略 中 的 一 个 组 成 部 分 ,没有 任何 一 种 防火 墙 可 以 达到 绝对 的 保护 。 构 筑 防火 墙 的 
目的 也 只 是 加 强 安全 比 而 不 是 保证 安全 。 并 且 防 火 墙 也 只 是 一 种 工具 ,只 有 根据 安全 策 
略 加 以 初始 化 才能 够 真正 起 作用 。 况 且 任 何 防火 墙 都 是 由 人 来 管理 的 ,对 于 一 个 经 常 忘 
记 锁 门 的 人 来 说 ,给 他 再 厚 的 墙 也 没有 用 。 


3. 使 用 防火 墙 的 好 处 
在 没有 防火 墙 时 ,内 部 网 络 上 的 每 个 节点 都 会 暴露 给 外 部 网 络 上 的 其 他 主机 , 极 易 
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受到 攻击 。 这 就 意味 着 内 部 网 络 的 安全 性 要 由 每 一 个 主机 的 坚固 程度 来 决定 ,并 且 安 全 
性 等 同 于 其 中 最 弱 的 系统 。 使 用 防火 墙 可 以 带 来 如 下 好 处 。 

(1) 防火 墙 允 许 网 络 管理 员 定义 一 个 中 心 扼 制 点 来 防止 非法 用 户 , 如 黑客 、 网 络 破坏 
者 等 进入 内 部 网 络 。 禁 止 存在 安全 脆弱 性 的 服务 进出 网 络 ,并 抗击 来 自 各 种 路 线 的 
攻击 。 

(2) 在 防火 墙 上 可 以 很 方便 地 监视 网 络 的 安全 性 ,并 产生 警报 。 

(3) 过 去 的 几 年 里 , Internet 经 历 了 地 址 空间 的 危机 ,使 得 IP 地 址 越 来 越 少 。 这 意 
味 着 想 进 入 Internet 的 机 构 可 能 申请 不 到 足够 的 IP 地 址 来 满足 其 内 部 网 络 上 用 户 的 需 
要 。 防 火 墙 可 以 作为 部 署 网 络 地 址 变换 (network address translator, NAT) 的 逻辑 地 址 。 
因此 防火 墙 可 以 用 来 缓解 地 址 空间 短缺 的 问题 并 消除 机 构 在 变换 ISP 时 带 来 的 重新 编 
址 的 麻烦 。 

(4) 防火 墙 是 审计 和 记录 Internet 使 用 量 的 一 个 最 佳 地 方 。 网 络 管理 员 可 以 在 此 向 
管理 部 门 提 供 Internet 连接 的 费用 情况 , 查 出 潜在 的 带宽 瓶颈 的 位 置 ,并 能 够 根据 机 构 
的 核算 模式 提供 部 门 级 的 记 费 。 

(5) 防火 墙 也 可 以 成 为 向 客户 发 布 信息 的 地 点 。Internet 防火 墙 作为 部 署 WWW 服 
务 器 和 FTP 服务 器 的 地 点 非常 理想 ,还 可 以 对 防火 墙 进行 配置 ,允许 Internet 访问 上 述 
服务 ,而 禁止 外 部 对 受 保护 的 内 部 网 络 上 其 他 系统 的 访问 。 


4. 防火 墙 的 局 限 性 
防火 墙 无 法 防范 通过 防火 墙 以 外 的 其 他 途径 的 攻击 。 例 如 在 一 个 被 保护 的 网 络 上 
有 一 个 没有 限制 的 拨 出 存在 ,内 部 网 络 上 的 用 户 就 ER 


可 以 直接 通过 SLIP 或 PPP 连接 进入 Internet, 如 
图 7-2 所 示 。 这 就 为 从 后 门 攻击 创造 了 极 大 的 可 
能 ,网 络 上 的 用 户 们 必须 了 解 这 种 类 型 的 连接 对 于 
一 个 有 全 面 的 安全 保护 系统 来 说 是 绝对 不 允许 的 。 , 

防火 墙 也 不 能 防止 来 自 内 部 用 户 们 带 来 的 威 “----1j----- | 
胁 。 防 火 墙 无 法 禁止 内 部 用 户 敏 感 数据 复制 到 软 
盘 上 ,并 将 其 带 出 公司 。 防 火 墙 也 不 能 防范 伪装 成 
超级 用 户 或 诈 称 新 雇员 ,从 而 劝说 没有 防范 心理 的 。 ”图 7-2 绕 过 防火 墙 系统 的 连接 
用 户 公开 密码 或 授予 其 临时 的 网 络 访问 权限 。 所 
以 ,必须 对 用 户 进行 教育 ,让 他 们 了 解 网 络 攻击 的 各 种 类 型 ,并 懂得 保护 自己 的 用 户 密码 
和 周期 性 变换 密码 的 必要 性 。 

防火 墙 也 不 能 防止 传送 已 感染 病毒 的 软件 或 文件 ,因为 病毒 的 类 型 太 多 ,操作 系统 
也 有 多 种 ,编码 与 压缩 二 进 制 文件 的 方法 也 各 不 相同 ,所 以 不 能 期 望 防火 墙 去 对 每 一 个 
文件 进行 扫描 , 查 出 潜在 的 病毒 。 对 病毒 特别 关心 的 机 构 应 在 每 个 PC 部 署 防 病毒 软件 ， 
防止 病毒 从 软盘 或 其 他 来 源 进入 网 络 系统 。 

最 后 一 点 是 ,防火 墙 无 法 防范 数据 驱动 型 的 攻击 。 数 据 驱动 型 的 攻击 从 表面 上 看 是 
无 害 的 数据 被 邮寄 或 复制 到 主机 上 ,一 旦 执行 就 开始 攻击 。 例 如 一 个 数据 型 攻击 可 能 导 
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致 主机 修改 与 安全 相关 的 文件 ,使 得 入侵 者 很 容易 获得 对 系统 的 访问 权 。 在 堡垒 主机 上 
部 署 代理 服务 器 是 禁止 从 外 部 直接 产生 网 络 连接 的 最 佳 方式 ,并 能 减少 数据 驱动 型 攻击 
的 威胁 。 


712 防火 墙 的 类 型 


尽管 防火 墙 的 发 展 已 有 20 多 年 ,但 按照 防火 墙 对 内 外 来 往 数据 的 处 理 方法 ,大 致 可 
以 分 为 包 过 滤 防 火 墙 和 代理 防火 墙 2 大 体系 。 


1. 网 络 级 防火 墙 


网 络 级 防火 墙 也 称 为 包 过 滤 防 火 墙 ,一 般 是 基于 源 地 址 和 目的 地 址 、 应 用 协议 以 及 
每 个 IP 包 的 端口 来 作出 通过 与 否 的 判断 。 一 个 路 由 器 便 是 一 个 “传统 ”的 网 络 级 防火 
墙 , 它 通过 检查 这 些 信息 来 决定 是 否 将 所 收 到 的 包 转 发 ,但 它 不 能 判断 这 个 IP 包 来 自 何 
方 ,去 向 何方 。 

网 络 级 防火 墙 可 以 判断 这 一 点 , 它 可 以 提供 内 部 信息 以 说 明 所 通过 的 连接 状态 和 一 
些 数据 流 的 内 容 , 把 判断 的 信息 同 规则 表 进 行 比 较 , 包 过 滤 规 则 一 般 存 放 于 路 由 器 的 
ACL 中 。 在 ACL 中 定义 了 各 种 规则 来 表明 是 否 同意 或 拒绝 数据 包 的 通过 。 包 过 滤 防 火 
墙 检查 数据 流 中 每 个 数据 包 的 报头 信息 并 与 过 滤 规 则 进行 匹配 ,如 果 规 则 允许 此 数据 包 
通过 ,该 数据 包 就 会 按照 路 由 表 中 的 信息 被 转发 ,如 果 规 则 拒绝 该 数据 包 通 过 ,那么 该 数 
据 包 就 会 被 丢弃 ,ACL 对 数据 包 的 过 滤 如 图 7-3 所 示 。 如 果 没 有 一 条 规则 能 匹配 ,防火 
墙 就 会 使 用 默认 规则 。 一 般 情况 下 ,默认 规则 要 求 防火 墙 丢 弃 该 包 。 包 过 滤 的 核心 是 安 
全 策略 即 包 过 滤 算 法 的 设计 ,图 7-4 解释 了 ACL 处 理 人 数据 包 的 过 程 。 其 次 ,通过 定义 
基于 TCP 或 UDP 数据 包 的 端口 号 ,防火 墙 能 够 判断 是 否 允 许 建 立 特定 的 连接 ,如 TCP、 
FTP 连接 。 


帧 头 ”| 数据 包 


加 
(如 HDLGJ|(P 头 部 )|( 如 TCP 头 部 ) 数据 帧 尾 


拒绝 , 丢弃 | | 允许 通过 


7-3 ”ACL 对 数据 包 的 过 滤 


包 过 滤 防 火 墙 系统 只 在 网 络 层 检查 数据 包 , 与 应 用 层 无 关 。 这 样 系统 就 具有 很 好 的 
传输 性 能 ,可 扩展 能 力 强 。 但 作为 系统 对 应 用 层 信 息 无 感知 ,无 法 识别 通信 的 内 容 , 可 能 
被 黑客 所 攻破 ,因此 , 包 过 滤 防 火 墙 的 安全 性 有 一 定 的 缺陷 。 
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Manns ssnnt 


数据 包 到 达 
防火 墙 接口 


列表 中 的 下 
一 条 


转发 给 
接口 


ICMP 消息 


7-4 ”ACL 对 入 数据 包 的 处 理 过 程 


2. 代理 服务 器 防火 墙 


代理 服务 器 (proxy server) 防 火 墙 是 基于 软件 的 。 运 行 在 内 部 用 户 和 外 部 主机 之 间 ， 
并 且 在 它们 之 间 转 发 数据 , 它 像 真 的 墙 一 样 挡 在 内 部 网 和 Internet 之 间 。 从 外 面 来 的 访 
问 者 只 能 看 到 代理 服务 器 但 看 不 见 任何 内 部 资源 ;而 内 部 客户 根本 感觉 不 到 代理 服务 器 
的 存在 ,他 们 可 以 自由 访问 外 部 站 点 。 代 理 服务 器 可 以 提供 极 好 的 访问 控制 .登录 能 力 
以 及 地 址 转换 功能 ,对 进出 防火 墙 的 信息 进行 记录 ,便于 管理 员 监 视 和 管理 系统 ,可 以 实 


现 比 包 过 滤 更 严格 的 安全 策略 。 


下 面 是 主机 A 试图 访问 www. sohu. com, 信 息 通 过 代理 服务 器 到 达 网 关 , 主 机 A 发 


出 连接 请 求 的 工作 过 程 如 图 7-5 所 示 。 


(1) 


NG) 
YY 


(4) ICMP 消息 


(7) 


一 


步骤 (4) 

步骤 (3) 步骤 (6) 
步骤 (2) 步骤 (7) 
步骤 (9) 步骤 (8) 


步骤 (1) 


图 7-5 主机 A 发 出 连接 请 求 通过 代理 服务 器 防火 墙 的 处 理 过 程 
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(1) 主机 A 发 出 访问 Web 站 点 的 请 求 。 

(2) 请 求 到 达 代理 服务 器 ,代理 服务 器 检查 防火 墙 规则 集 , 检 查 数据 包 报头 信息 和 
数据 。 

(3) 如 果 不 多 许 该 请 求 发 出 ,代理 服务 器 拒绝 该 请 求 ,发 送 ICMP 消息 给 主机 A。 

(4) 如 果 允 许 该 请 求 发 出 ,代理 服务 器 修改 源 IP 地 址 ,创建 数据 包 。 

(5) 代理 服务 器 将 数据 包 发 给 目的 计算 机 ,数据 包 显示 源 IP 地 址 来 自 代理 服务 器 。 

(6) 返回 的 数据 包 又 被 发 送 到 代理 服务 器 。 服 务 器 再 次 根据 防火 墙 规则 集 检 查 数据 
包 报头 信息 和 数据 。 

(7) 如 果 不 允许 该 数据 包 进入 内 部 网 ,代理 服务 器 丢弃 该 数据 包 。 

(8) 如 果 人 允许 该 数据 包 进 入 内 部 网 ,代理 服务 器 将 它 发 给 最 先 发 出 请 求 的 计算 机 。 

(9) 数据 包 到 达 主 机 A, 此 时 数据 包 显示 来 自 外 部 主机 而 不 是 代理 服务 器 。 

通过 对 代理 服务 器 和 包 过 滤器 进行 比较 ,可 以 了 解 它们 提供 的 网 络 安全 有 什么 
不 同 。 

(1) 代理 服务 器 对 整个 IP 包 的 数据 进行 扫描 ,因此 它 提供 比 包 过 滤器 更 详细 的 日 志 
文件 。 

(2) 如 果 数 据 包 和 包 过 滤 规 则 匹配 ,就 允许 数据 包 通 过 防火 增 , 而 代理 服务 器 要 用 新 
的 源 IP 地 址 重建 数据 包 , 这 样 对 外 隐藏 了 内 部 用 户 。 

(3) 使 用 代理 服务 器 ,意味 着 在 Internet 上 必须 有 一 个 服务 器 , 且 内 部 主机 不 能 直接 
与 外 部 主机 相连 。 带 有 恶意 攻击 的 外 部 数据 包 也 就 不 能 到 达 内 部 主机 。 

(4) 对 网 络 通信 而 言 ,如 果 包 过 滤器 由 于 某 种 原因 不 能 工作 ,可 能 出 现 的 结果 是 所 有 
的 数据 包 都 能 到 达 内 部 网 。 而 如 果 代理 服务 器 由 于 某 种 原因 不 能 工作 ,整个 网 络 通 信 将 
被 终止 。 


3. 应 用 网 关 防火 墙 


应 用 网 关 防 火 墙 检查 所 有 应 用 层 的 信息 包 , 并 将 检查 的 内 容 信息 放 入 决策 过 程 ,从 
而 提高 网 络 的 安全 性 ,如 图 7-6 所 示 。 然 而 ,应 用 网 关 防 火 墙 的 可 伸缩 性 差 , 它 是 通过 打 
破 客 户 机 /服务 器 模式 实现 的 。 每 个 客户 机 /服务 器 通信 需要 两 个 连接 : 一 个 是 从 客户 端 
到 防火 墙 , 另 一 个 是 从 防火 墙 到 服务 器 。 还 有 ,每 个 代理 需要 一 个 不 同 的 应 用 进程 ,或 一 
个 后 台 运 行 的 服务 程序 。 对 每 个 新 的 应 用 必须 添加 针对 此 应 用 的 服务 程序 ,和 否则 不 能 使 


用 该 服务 。 
Internet 
By 


图 7-6 应 用 级 网 关 防 火 墙 示意 图 


应 用 级 网 关 


加 区 二 尖 | 四 | 


Telnet 
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常用 的 应 用 级 防火 墙 已 有 了 相应 的 代理 服务 器 ,例如 HTTP、NNTP、FTP、Telnet、 
rlogin、X-Window 等 。 但 是 ,对 于 新 开发 的 应 用 , 尚 没 有 相应 的 代理 服务 ,它们 将 通过 网 
络 级 防火 墙 和 一 般 的 代理 服务 。 
应 用 级 网 关 有 较 好 的 访问 控制 ,是 目前 最 安全 的 防火 墙 技术 ,但 实现 困难 ,而 且 有 的 
应 用 级 网 关 缺 乏 “ 透 明度 ”。 在 实际 使 用 中 ,用 户 在 受信 任 的 网 络 上 通过 防火 墙 访问 
Internet 时 ,经 常会 发 现存 在 延迟 并 且 必 须 进行 多 次 登录 (Login) 才 能 访问 Internet 或 
Intranet 。 
例如 一 个 Telnet 服务 器 允许 远程 管理 员 对 其 执行 某 些 特定 的 操作 。 该 Telnet 网 关 
对 Internet 可 见 , 但 是 隐藏 了 其 真实 主机 名 ,以 便 不 受信 任 的 网 络 不 能 识别 它 的 真实 身 
份 ,连接 它 的 过 程 如 图 7-7 所 示 。 


用 户 通过 23 端 口 Telnet 到 应 用 级 网 关 


网 关 检 测 源 了 
是 否 在 允许 的 
源 地 址 列表 


用 户 身份 验 
证 是 否 通过 


网 关 展示 给 用 户 一 个 系统 菜单 ， 允 许 用 户 连 接 到 目的 主机 
1 


用 户 选择 要 连接 的 系统 
1 


关 初 始 化 一 个 新 的 ， 从 应 用 级 网 关 到 目的 主机 的 TCP 连接 


下 


如 果 有 要 求 ， 系 统 会 提示 用 户 ， 再 进行 另外 的 身份 验证 
图 7-7 远程 连接 应 用 网 关 防 火 墙 过 程 


应 用 级 网 关 一 般 由 双 宿 主 主 机 或 者 多 宿主 主机 (在 主机 至 少 插 有 两 块 网 卡 ) 担 任 。 
在 本 例 中 ,应 用 级 网 关 有 两 块 网 卡 , 一 块 用 于 连接 受 保护 的 内 部 网 ,一 块 连接 Internet。 
应 用 级 网 关 的 优点 是 能 够 有 效 地 实现 防火 墙 内 外 计算 机 系统 的 隔离 ,还 可 用 于 实施 较 强 
的 数据 流 监 控 、 过 滤 、 记 录 和 报告 等 功能 。 缺 点 是 实现 麻烦 ,对 于 那些 为 了 使 用 代理 服务 
器 而 修改 自己 应 用 的 终端 用 户 来 说 ,这 种 选择 缺乏 透明 度 。 另 外 由 于 代理 服务 器 必须 采 
用 操作 系统 服务 来 执行 代理 过 程 ,所 以 它 通常 是 建立 在 操作 系统 之 上 的 ,由 此 带 来 的 问 
题 是 增加 了 开销 、 降 低 了 性 能 ,而 且 由 于 通用 操作 系统 是 众所周知 的 ,该 操作 系统 的 漏洞 
也 是 公开 的 ,容易 被 攻击 。 
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4. 电路 级 防火 墙 


电路 级 防火 墙 用 来 监控 受信 任 的 客户 或 服务 器 与 不 受信 任 的 主机 间 的 TCP 握手 信 
息 ,这 样 来 决定 该 会 话 (session) 是 否 合法 。 电 路 级 防火 墙 是 在 OSI 模型 中 会 话 层 上 来 过 
滤 数 据 包 ,这 样 比 包 过 滤 防 火 墙 要 高 二 层 。 

电路 级 网 关 通 过 在 TCP 三 次 握手 建立 连接 的 过 程 中 ,检查 双方 的 SYN、ASK 和 序 
列 号 是 否 合乎 逻辑 ,来 判断 该 请 求 的 会 话 是 否 合法 。 一 旦 网 关 认 为 会 话 是 合法 的 ,就 为 
双方 建立 连接 并 维护 一 张 合 法 会 话 连接 表 , 当 会 话 信息 与 表 中 的 条 目 匹配 时 才 允 许 数据 
通过 。 会 话 结束 后 , 表 中 的 条 目 就 被 删除 。 

电路 级 网 关 与 包 过 滤 防 火 墙 都 是 依靠 特定 的 逻辑 来 判断 是 否 允 许 数 据 包 通过 ,然而 
包 过 滤 防 火 墙 允 许 内 、 外 网 的 计算 机 直接 建立 连接 ,电路 级 网 关 则 不 允许 TCP 端 到 端的 
连接 ,而 是 要 建立 两 个 连接 ,其 中 一 个 连接 是 网 关 到 内 部 主机 , 另 一 个 是 网 关 到 外 部 主 
机 。 一 旦 两 个 连接 被 建立 ,网 关 只 简单 地 进行 数据 中 转 , 即 它 只 在 内 部 连接 和 外 部 连接 
之 间 来 回复 制 字 节 并 将 源 IP 地 址 转换 为 自己 的 地 址 ,使 外 界 认 为 是 网 关 和 目的 地 址 在 
进行 连接 。 电 路 级 网 关 防 火 墙 如 图 7-8 所 示 。 


Internet 电路 级 网 关 


外 连接 _@u) 


图 7-8 电路 级 网 关 防 火 墙 示意 图 


实际 上 电路 级 防火 墙 并 非 作为 一 个 独立 的 产品 存在 , 它 与 其 他 的 应 用 级 网 关 结 合 
一 起 ,如 Trust Information Systems 公司 的 Gauntlet Internet Firewall ,DEC 公司 的 Alta 
Vista Firewall 等 产品 。 另 外 ,电路 级 防火 墙 还 提供 一 个 重要 的 安全 功能 ,就 是 代理 服务 
器 (Proxy Server) 。 代 理 服务 器 是 个 防火 墙 , 在 其 上 运行 一 个 叫做 “地 址 转换 "的 进程 ,来 
将 所 有 公司 内 部 的 IP 地 址 映射 到 一 个 “安全 ”的 IP 地 址 ,这 个 地 址 是 由 防火 墙 使 用 的 。 
但 是 ,作为 电路 级 防火 墙 也 存在 着 一 些 缺 陷 , 因 为 该 网 关 是 在 会 话 层 工作 的 , 它 就 无 法 检 
查 应 用 层级 的 数据 包 。 

例如 主机 A 试图 访问 www. sohu. com. 它 要 通过 一 个 电路 级 网 关 。 下 面 是 主机 A 
发 出 连接 请 求 的 工作 过 程 。 

(1) 主机 发 出 访问 Web 站 点 的 请 求 。 

(2) 该 主机 上 的 客户 端 应 用 程序 将 请 求 发 送 到 电路 级 网 关 的 内 部 接口 。 

(3) 如 果 需 要 身份 认证 ,网 关 会 提示 用 户 进行 身份 认证 。 

(4) 如 果 用 户 的 身份 认证 通过 ,网 关 将 目的 URL 与 防火 墙 规 则 集 进行 比较 。 该 规 
则 集 包 括 允 许 或 者 禁止 的 URL 列表 。 

(5) 如 果 规 则 集 不 允许 进行 连接 ,网 关 将 拒绝 访问 站 点 的 请 求 , 并 发 送 ICMP 消息 给 


326 


innsstsnnr 


源 主 机 。 

(6) 如 果 规 则 集 允 许 进行 连接 ,网 关 向 目的 URL 发 出 DNS 请 求 , 接 着 将 自己 的 IP 
地 址 作为 源 IP 地 址 ,与 目的 IP 地 址 建立 一 个 连接 。 

(7) 网 关 接收 到 Web 站 点 的 应 答 后 ,将 转发 该 应 答 给 最 先 发 出 请 求 的 计算 机 。 

电路 级 网 关 实 现 的 一 个 例子 是 SOCKS(http://www. socks. permeo. com) ,包括 微 
软 的 Microsoft Proxy Server 在 内 的 许多 产品 都 支持 SOCKS。 

电路 级 网 关 的 优点 是 提供 网 络 地 址 转换 NAT(network address translator) ,在 使 用 
内 部 网 络 地 址 机 制 时 为 网 络 管理 员 实 现 安全 提供 了 很 大 的 灵活 性 ;基于 和 包 过 滤 防 火 墙 
一 样 的 规则 有 具有 包 过 滤 防 火 墙 提供 的 所 有 优点 。 电 路 级 网 关 的 缺点 是 电路 级 网 关 在 会 
话 建立 连接 后 ,不 对 所 传输 的 内 容 作 进一步 的 分 析 ,不 能 很 好 地 区 分 好 包 与 坏 包 、 易 受 IP 
欺骗 类 的 攻击 ,需要 修改 应 用 程序 和 执行 程序 要 求 终端 用 户 通 过 身份 认证 ,因此 安全 性 
稍 低 。 


5. 状态 检测 防火 墙 


该 防火 墙 结合 了 包 过 滤 防火 墙 ,电路 级 防火 墙 和 应 用 级 防火 墙 的 特点 。 它 同 包 过 滤 
防火 增 一 样 ,基本 保持 了 简单 包 过 滤 防 火 墙 的 优点 ,性 能 比较 好 ,能 够 在 OSI 网 络 层 上 通 
过 IP 地 址 和 端口 号 ,过 滤 进 出 的 数据 包 。 它 也 像 电 路 级 防火 墙 一 样 ,能 够 检查 SYN 和 
ACK 标记 和 序列 数字 是 否 逻 辑 有 序 , 在 防火 墙 的 核心 部 分 建立 状态 连接 表 , 维 护 了 连 
接 , 将 进出 网 络 的 数据 当成 一 个 个 的 事件 来 处 理 , 不 仅仅 考查 进出 网 络 的 数据 包 。 可 以 
说 ,状态 检测 包 过 滤 防 火 墙 规范 了 网 络 层 和 传输 层 行为 ,大 大 提高 了 安全 性 。 它 还 像 应 
用 级 防火 墙 一 样 ,可 以 在 OSI 应 用 层 上 检查 数据 包 的 内 容 , 查 看 这 些 内 容 是 否 能 符合 用 
户 网 络 的 安全 规则 ,其 处 理 过 程 如 图 7-9 所 示 。 


规则 集 是 否 
允许 数据 包 
的 内 容 通 过 ? 


数据 包 达 到 
防火 墙 接口 


丢弃 数据 包 更 新 对 话 


表 作 日 志 记 录 给 源 
主机 发 送 ICMP 消 息 
建立 连接 项 
将 数据 包 转 发 给 接口 
更 新 对 话 表 
作 日 志 记录 


7-9 状态 检测 防火 墙 的 处 理 过 程 


状态 检测 防火 墙 虽然 集成 前 三 者 的 特点 ,但 是 不 同 于 应 用 级 网 关 的 是 , 它 并 不 打破 


7 网 络 安全 系统 “327 


客户 /服务 器 模式 来 分 析 应 用 层 的 数据 , 它 允 许 受 信任 的 客户 机 和 不 受信 任 的 主机 建立 
直接 连接 。 状 态 检测 防火 墙 不 依靠 与 应 用 层 有 关 的 代理 ,而 是 依靠 某 种 算法 来 识别 进出 
的 应 用 层 数据 ,这 些 算 法 通过 已 知 合法 数据 包 的 模式 来 比较 进出 数据 包 , 这 样 从 理论 上 
就 能 比 应 用 级 代理 在 过 滤 数 据 包 上 更 有 效 。 

下 面 是 主机 A 试图 访问 www. sohu. com 经 过 状态 检测 防火 墙 的 例子 。 主 机 要 访问 
www. sohu. com, 必 须 通 过 路 由 器 ,而 该 路 由 器 被 配置 成 状态 检测 防火 墙 ,主机 A 发 出 连 
接 请 求 的 工作 过 程 如 图 7-10 所 示 。 


加 | G) 4 Ce oa 
N 


(4) 步骤 (4) ”步骤 (7) 
步骤 (2) 步骤 (9) 
N 
(9) 
| Y 
ICMP 消息 (6) 步骤 (8) 


和 第 东阳 表现 步 豫 (1) 


源 IP : www.sohu.com 
CO) | 源 端口 : 80 a] 
| 目标 IP : 192.168.1.20 = 


目标 端口 : 3128 
人 | 传输 协议 :TCP [mm 
[_ 色 ] 


图 7-10 主机 A 发 出 连接 请 求 通过 状态 检测 防火 墙 的 工作 过 程 


(1) 主机 A 发 出 连接 请 求 到 www. sohu. com。 

(2) 请 求 到 达 路 由 器 ,路 由 器 检查 状态 表 。 

(3) 如 果 有 连接 存在 , 且 状 态 表 正常 ,允许 数据 包 通 过 。 

(4) 如 果 无 连接 存在 ,创建 状态 项 ,将 请 求 与 防火 墙 规 则 集 进行 比较 。 

(5) 如 果 规 则 允许 内 部 主机 可 以 访问 TCP80 端口 , 则 允许 数据 包 通 过 。 

(6) 数据 包 被 Web 服务 器 接收 。 

(7) SYN/ACK 信息 回 到 路 由 器 ,路 由 器 检查 状态 表 。 

(8) 状态 表 正 确 ,允许 数据 包 通 过 ,数据 包 到 达 最 先 发 出 请 求 的 主机 A。 

(9) 如 果 规 则 不 允许 内 部 主机 访问 TCP80 端口 , 则 禁止 数据 包 通 过 ,路 由 器 发 送 
ICMP 消息 给 主机 A。 

与 无 状态 包 过 滤 相 比 有 状态 包 过 滤 防 火 墙 的 优点 是 具有 识别 带 有 欺骗 性 源 IP 地 址 
包 的 能 力 ;检查 的 层面 能 够 从 网 络 层 至 应 用 层 ;具有 详细 记录 通过 的 每 个 包 的 信息 的 能 
力 , 其 中 包括 应 用 程序 对 包 的 请 求 .连接 的 持续 时 间 、 内 部 和 外 部 系统 所 做 的 连接 请 求 
等 。 状 态 检 测 防火 墙 的 缺点 是 所 有 这 些 记 录 、 测 试 和 分 析 工 作 可 能 会 造成 网 络 连接 的 某 
种 迟滞 ,特别 是 在 同时 有 许多 连接 激活 的 时 候 , 或 是 有 大 量 的 过 滤 网 络 通信 的 规则 存在 
时 。 但 是 硬件 速度 越 快 ,这 个 问题 就 越 不 易 察觉 。 

目前 在 市 场 上 流行 的 防火 墙 大 多 属于 状态 检测 防火 墙 ,因为 该 防火 墙 对 于 用 户 透 
明 , 在 OSI 最 高 层 上 加 密 数 据 , 不 需要 去 修改 客户 端的 程序 ,也 不 需 对 每 个 需要 在 防火 墙 
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上 运行 的 服务 额外 增加 一 个 代理 。 如 现在 比较 流行 的 防火 墙 ,由 OnTechnology 软件 公 
司 生产 的 OnGuard 防火 墙 和 CheckPoint 软件 公司 生产 的 Firewall-1 防火 墙 都 是 一 种 状 
态 检 测 防火 墙 。 


6. 复合 型 防火 墙 


复合 型 防火 墙 是 指 综合 了 状态 检测 与 透明 代理 的 新 一 代 防 火 墙 , 进 一 步 基 于 ASIC 
架构 ,把 防 病毒 .内容 过 滤 整 合 到 防火 墙 里 ,其 中 还 包括 NAT、VPN IDS 功能 ,将 多 单元 
融 为 一 体 , 是 一 种 新 突破 。 常 规 的 防火 墙 并 不 能 防止 隐蔽 在 网 络 流量 里 的 攻击 ,复合 型 
防火 墙 在 网 络 界 面 对 应 用 层 扫描 ,把 防 病毒 ,内容 过 滤 与 防火 墙 结 合 起 来 ,这 体现 了 网 络 
与 信息 安全 的 新 思路 。 它 在 网 络 边界 实施 OSI 第 七 层 的 内 容 扫 描 , 实 现 了 实时 在 网 络 边 
缘 布 署 病毒 防护 、 内 容 过 滤 等 应 用 层 服务 措施 。 

1) 网 络 地 址 转换 (NAT) 

网 络 地 址 转换 NAT 是 一 种 将 一 个 IP 地 址 域 映射 到 另 一 个 IP 地 址 域 的 技术 ,从 而 
为 终端 主机 提供 透明 路 由 。NAT 常用 于 私有 地 址 域 与 公用 地 址 域 的 转换 ,以 解决 IP 地 
址 芒 乏 问题 。 在 防火 墙 上 实现 NAT 后 ,可 以 隐藏 受 保护 网 络 的 内 部 拓扑 结构 ,在 一 定 程 
度 上 提高 网 络 的 安全 性 。 它 可 以 在 边界 路 由 器 、 包 过 滤 防 火 墙 以 及 代理 服务 防火 墙 上 

2) 虚拟 专用 网 络 VPN 

虚拟 专用 网 络 (virtual private network,VPN) ,是 在 公共 网 络 中 建立 专用 网 络 ,数据 
通过 安全 的 加 密 通道 在 公 网 中 传播 。 目 前 ,VPN 的 安全 保证 主要 是 通过 防火 墙 技术 、 路 
由 器 配 以 隧道 技术 加密 协 议和 安全 密 钥 来 实现 的 ,用 于 公司 总 部 和 分 支 机 构 、 合 作 伙伴 
之 间 以 及 移动 办 公用 户 通过 公 网 进行 通信 并 且 达 到 安全 的 目的 。 

3) 人 侵 检 测 系统 (intrusion detection system,IDS) ,是 主动 保护 自己 免 受 攻击 的 一 
种 网 络 安全 技术 。 它 要 对 侵入 计算 机 网 络 和 主机 的 行为 进行 发 现 并 进行 一 定 的 阻止 。 
通常 IDS 安装 在 计算 机 网 络 或 计算 机 系统 的 若干 关键 点 ,进行 网 络 和 系统 的 信息 收集 和 
分 析 ,从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 攻击 的 迹象 。 它 扩展 了 系统 
管理 员 的 安全 管理 能 力 (包括 安全 审计 ,监视 .攻击 识别 和 响应 ) ,提高 了 信息 安全 基础 结 
构 的 完整 性 。 

4) 认证 授权、 审计 

认证 .授权 .审计 (Cauthentication ,authorization ,accounting) 是 Cisco 系统 表述 集中 
式 身 份 认证 服务 器 三 大 主要 功能 的 术语 , 它 是 网 络 安全 策略 的 一 个 组 成 部 分 。 

(1) 认证 

确认 远 端 访问 用 户 的 身份 ,判断 访问 者 是 否 为 合法 的 网 络 用 户 , 常 用 的 办 法 是 以 一 
个 用 户 标识 和 一 个 与 之 对 应 的 密码 来 识别 用 户 。 


(2) 授权 

对 用 户 进行 认证 后 ,授权 服务 将 决定 该 用 户 可 以 访问 哪些 资源 ,人 允许 该 用 户 执行 哪 
些 操作 。 

(3) 审计 


为 统计 、 计 费 和 审计 目的 而 记录 用 户 使 用 网 络 服务 中 的 所 有 操作 ,包括 使 用 的 服务 
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类 型 .起 始 时 间 数据 流量 等 信息 。 审 计 功 能 不 仅 保留 了 网 络 资源 被 使 用 的 记录 , 它 还 可 
用 于 跟踪 、 记 录 网 络 访问 情况 并 检测 网 络 是 否 被 人 侵 。 

由 于 80% 的 网 络 攻 击发 生 在 内 部 ,而 不 是 外 部 。 内 部 网 的 管理 和 访问 控制 相对 外 部 
的 隔离 来 讲 要 复杂 得 多 。 对 外 部 网 的 管理 ,基本 上 是 禁止 和 放行 ,而 对 内 部 网 管理 则 是 
针对 用 户 来 设置 的 。 如 你 是 谁 ? 怎么 确认 你 是 谁 ? 你 属于 什么 组 ? 该 组 的 访问 权限 是 
什么 ? 另外 如 果 执 行人 员 出 现 失 误 ,网 络 安全 也 就 存在 问题 。 因 此 ,技术 越 先 进 , 审 计 功 
能 就 越 重 要 。 对 审计 的 数据 进行 系统 的 挖掘 ,具有 非常 特殊 的 意义 ,通过 审计 也 可 以 了 
解 内 部 人 员 使 用 网 络 的 情况 或 外 部 用 户 感 兴趣 的 内 容 , 掌 握 用 户 的 兴趣 和 需求 等 。 

5) 服务 质量 

服务 质量 (quality of server,QoS) 是 网 络 的 一 种 安全 机 制 。 拥 有 QoS 的 网 络 是 一 种 
智能 网 络 , 它 可 以 对 网 络 上 传输 的 视 音频 流 等 对 实时 性 要 求 较 高 的 数据 提供 优先 服务 ， 
从 而 保证 较 低 的 延迟 。 如 果 不 实施 QoS,IP 电话 电视 会 议 及 关键 任务 数据 等 应 用 只 能 作 
为 尽力 而 为 业务 传输 ,这 将 导致 在 网 络 拥塞 时 话音 和 视频 的 不 稳定 性 。 

6) 其 他 

防火 墙 还 应 包含 先进 的 鉴别 措施 ,如 身份 识别 及 认证 、 信 息 的 保密 性 保护 .信息 的 完 
整 性 校 验 ,以 及 授权 管理 技术 等 。 网 络 管理 安全 越 完 善 ,体系 架构 就 越 复杂 。 管 理 网 络 
的 多 台 安 全 设备 ,还 需要 集中 网 管 。 


713 防火 墙 的 体系 结构 


要 了 解 防火 墙 的 体系 结构 ,就 要 解释 一 个 概念 一 一 bastion host。bastion host 的 中 
文 翻 译 是 保 垒 主机 ,bastion 是 在 防火 墙 里 专门 设防 的 地 方 , 即 设计 专门 用 来 击 退 进攻 。 
网 络 防御 的 第 一 步 , 是 把 bastion host 放置 在 网 络 中 的 合适 位 置 。bastion 主机 为 网 络 和 
Internet 之 间 的 所 有 通道 提供 一 个 阻塞 点 (choke point) 。 换 名 话说 ,如 果 不 通过 bastion 
主机 ,在 局 域 网 上 没有 计算 机 可 以 连接 Internet。 同 样 .如果 不 通过 bastion 主机 ,在 
Internet 上 也 没有 计算 机 可 以 访问 局 域 网 。 如 果 通 过 一 台 计算 机 来 集中 网 络 权限 ,可 以 
非常 容易 地 掌握 网 络 安全 性 。 而 且 , 通 过 仅 使 一 台 计 算 机 能 够 访问 Internet, 可 以 更 容易 
地 配置 适当 的 软件 以 保护 局 域 网 。 

大 多 数 UNIX 环境 ,包括 Linux, 对 维护 bastion 主 


机 非常 合适 而 且 经 济 实惠 ,因为 操作 系统 已 经 有 能 力 来 
提供 并 配置 防火 墙 。 mm 
目前 ,防火 增 的 体系 结构 一 般 有 以 下 几 种 : 双 宿 主 
主机 体系 结构 ;主机 屏 融 体系 结构 ; 子 网 屏 项 体系 结构 。 


1. 双 宿主 主机 防火 墙 me me 
网 卡 ! ”网卡 2 ”网 卡 3 
在 TCP/IP 网 络 中 ,多 宿主 主机 (multi-homed | | 
host) 这 个 词 用 来 描述 具有 多 个 网 络 接口 卡 的 主机 ,如 网络 | 。 网络 2 网络 3 
图 7-11 所 示 。 通 常 ,每 个 网 络 接口 卡 都 和 网 络 相 连 。 
在 历史 上 ,这 种 多 宿主 主机 也 可 以 在 网 络 段 之 间 传 送 流 


7-11 多 宿主 主机 防火 墙 
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量 。 现 在 ,一 般 都 使 用 专门 的 路 由 器 来 完成 IP 的 路 由 转发 。 

如 果 多 宿主 主机 的 路 由 功能 被 禁止 , 则 主机 可 以 在 它 连 接 的 网 络 之 间 提 供 网 络 流量 
的 分 离 ,并 且 每 个 网 络 都 能 在 宿主 主机 上 处 理应 用 程序 。 另 外 ,如 果 应 用 程序 允许 ,网 络 
还 可 以 共享 数据 。 

双 宿 主 主 机 (Dual-Homed Host) 的 路 由 功能 是 多 宿主 主机 的 一 个 特例 , 它 有 两 个 网 
络 接口 和 被 禁止 的 路 由 功能 。 

双人 宿主 主机 可 用 于 把 各 内 部 网 络 从 一 个 不 可 信 的 外 部 网 络 分 离 出 来 ,如 图 7-12 所 
示 。 因 为 双 宿 主 主 机 不 能 转发 任何 TCP/IP 流量 ,所 以 它 可 以 彻底 堵塞 内 部 和 外 部 不 可 
信和 网络 间 的 任何 IP 流量 。 
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图 7-12 双 宿 主 主机 防火 墙 


防火 墙 运行 Proxy( 代 理 ) 软 件 控制 着 数据 包 从 一 个 网 络 流向 另外 一 个 网 络 ,这 样 内 
部 网 络 中 的 计算 机 就 可 以 访问 外 部 网 络 。 双 宿主 主机 是 防火 墙 使 用 的 最 基本 配置 。 建 
立 双 宿主 主机 防火 墙 的 关键 是 要 禁止 路 由 ,网 络 之 间 通 信 的 唯一 路 径 是 通过 应 用 层 的 代 
理 软件 。 如 果 路 由 被 意外 地 人 允许 ,那么 双 宿主 主机 防火 墙 的 应 用 层 功 能 就 会 被 旁 路 ,内 
部 受 保护 网 络 就 会 完全 暴露 在 危险 之 中 ,如 图 7-13 所 示 。 


防火 墙 


网 卡 1 网 


没有 经 过 Proxy 的 攻击 
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7-13 ”被 旁 路 的 双 宿主 主机 防火 墙 (路 由 使 能 ) 
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在 UNIX 环境 中 运行 的 网 络 对 双 宿 主 主机 防火 墙 的 这 个 危险 性 特别 敏感 。 在 一 些 
UNIX 操作 系统 (如 著名 的 Berkeley UNIX) 中 ,默认 时 路 由 能 力 有 效 。 因 此 ,在 UNIX 网 
络 中 建立 防火 墙 时 ,必须 认证 防火 墙 所 使 用 的 操作 系统 的 路 由 功能 禁止 。 如 果 操 作 系 统 
没有 使 路 由 能 力 失效 ,必须 在 防火 墙 主 机 内 重新 配置 并 且 重 建 UNIX 核心 以 保证 操作 系 
统 使 路 由 能 力 禁 止 。 

另外 ,如 果 用 户 被 允许 直接 登录 到 防火 墙 ,那么 防火 墙 的 安全 性 就 将 受到 危害 。 因 
为 双 宿 主 主机 防火 墙 是 内 部 网 络 和 外 部 网 络 相 连 的 中 心 点 。 一 旦 黑客 进入 到 防火 墙 , 防 
火 墙 的 防卫 功能 也 就 彻底 崩溃 了 。 黑 客 甚至 可 以 使 用 防火 墙 作为 入 侵 其 他 主机 的 基地 。 


2. 主机 屏蔽 防火 墙 


一 般 来 讲 , 主 机 屏蔽 防火 墙 比 双 宿主 主机 防火 墙 更 加 安全 。 主 机 屏蔽 防火 墙 体系 结 
构 在 防火 墙 的 前 面 增加 了 屏蔽 路 由 器 。 也 就 是 说 ,防火 墙 并 不 直接 与 Internet 相连 。 这 
种 配置 将 提供 一 种 非常 有 效 的 并 且 容 易 维 护 的 防火 墙 ， 
如 图 7-14 所 示 。 

因为 路 由 器 具有 数据 过 滤 的 功能 ,路 由 器 通过 适当 
配置 (如 配置 访问 列表 ) 后 ,可 以 实现 一 部 分 防火 墙 的 功 
能 ,因此 有 人 把 屏蔽 路 由 器 也 称 为 防火 墙 的 一 种 。 

实际 上 ,常常 把 屏蔽 路 由 器 作为 从 Internet 到 受 保 
护 网 络 的 第 一 道 防 线 。 根 据 内 部 网 络 的 安全 策略 ,屏蔽 
路 由 器 可 以 过 滤 掉 不 允许 的 数据 包 。 

(1) 不 允许 来 自 内 部 主机 (防火 墙 除外 ) 的 所 有 连 
接 , 即 强迫 所 有 内 部 主机 必须 使 用 防火 墙 代理 服务 。 

(2) 屏蔽 掉 不 允许 的 服务 ,如 禁止 telnet、 ftp、 
finger 请 求 等 。 

屏蔽 路 由 器 的 配置 要 根据 实际 的 网 络 安全 策略 ,如 
server 主机 向 Internet 提供 www 服务 , 则 需要 在 屏蔽 路 由 器 上 开放 对 server 主机 80 端 
口 的 访问 。 

因为 这 种 体系 结构 允许 数据 包 从 Internet 向 内 部 网 的 移动 ,所 以 它 的 设计 比 没有 外 
部 数据 包 能 到 达 内 部 网 络 的 双 宿 主 主机 体系 结构 似乎 是 更 具 风 险 。 话 说 回来 ,实际 上 双 
宿主 主机 体系 结构 在 防备 数据 包 从 外 部 网 络 穿 过 内 部 网 络 时 也 容易 产生 失败 (因为 这 种 
失败 类 型 是 完全 出 乎 预料 的 )。 进 而 言 之 ,保卫 路 由 器 比 保卫 主机 较 易 实现 ,因为 它 提供 
了 非常 有 限 的 服务 。 多 数 情况 下 ,被 屏蔽 的 主机 体系 结构 提供 比 双 宿主 主机 体系 结构 更 
好 的 安全 性 和 可 用 性 。 


3. 子 网 屏蔽 防火 墙 


Computer Computer Server Computer 


图 7-14 主机 屏蔽 防火 墙 


子 网 屏蔽 体系 结构 添加 额外 的 安全 层 到 主机 屏蔽 体系 结构 , 即 通过 添加 周边 网 络 更 
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进一步 地 把 内 部 网 络 与 Internet 隔 离开 , 如 图 7-15 
所 示 。 

这 样 做 是 由 它们 的 性 质 决 定 的 。 

堡垒 主机 (在 这 里 是 防火 墙 ) 是 用 户 网 络 上 最 容易 
受 侵袭 的 机 器 。 任 赁 用 户 尽 最 大 的 力气 去 保护 它 , 它 仍 
是 最 有 可 能 被 侵袭 的 机 器 ,没有 什么 主机 是 绝对 安 
全 的 。 

在 主机 屏蔽 体系 结构 中 ,用 户 的 内 部 网 络 对 堡垒 主 
机 没有 任何 防御 措施 。 如 果 黑 客 成 功 地 侵入 主机 屏蔽 
体系 结构 中 的 煲 又 主机, 那 就 毫 无 阻挡 地 进入 到 内 部 

通过 在 周边 网 络 上 隔离 堡垒 主机 ,能 减少 在 保 垒 主 | | 
机 上 侵入 的 影响 。 可 以 说 , 它 只 给 入 侵 者 一 些 访问 的 机 Cbd ced Srver comp 
会 ,但 不 是 全 部 。 屏 蔽 子 网 体系 结构 的 最 简单 的 形式 为 
两 个 屏蔽 路 由 器 ,每 一 个 都 连接 到 周边 网 ,一 个 位 于 周 
边 网 与 内 部 的 网 络 之 间 , 另 一 个 位 于 周边 网 与 外 部 网 络 之 间 ( 通 常 为 Internet)。 为 了 侵 
入 用 此 类 型 体系 结构 构筑 的 内 部 网 络 ,侵袭 者 必须 要 通过 两 个 路 由 器 。 即 使 侵袭 者 设法 
侵入 了 堡垒 主机 ,他 仍然 必须 通过 内 部 路 由 器 。 在 此 情况 下 ,没有 损害 内 部 网 络 的 单一 
的 易 受 侵袭 点 。 作 为 人 侵 者 ,只 是 进行 了 一 次 访问 。 

对 该 体系 结构 的 要 点 说 明 如 下 。 

1) 周边 网 络 

周边 网 络 是 另 一 个 安全 层 , 是 在 外 部 网 络 与 用 户 被 保护 的 内 部 网 络 之 间 的 附加 网 
络 。 如 果 侵 袭 者 成 功 地 侵入 用 户 防 火 墙 的 外 层 领 域 ,周边 网 络 在 那个 人 侵 者 与 用 户 的 内 
部 系统 之 间 提 供 各 附加 的 保护 层 。 

对 于 周边 网 络 的 作用 ,举例 说 明 如 下 。 

在 许多 网 络 设置 中 ,可 以 利用 网 络 上 的 主机 来 侦 听 网 络 上 的 通信 ,尤其 对 以 太 网 侦 
听 更 加 容易 (而 且 以 太 网 是 当今 使 用 最 广泛 的 局 域 网 技术 ) ,对 若干 其 他 成 熟 的 技术 , 诸 
如 令 牌 环 和 FDDI 也 可 以 侦 听 。 入 侵 者 可 以 通过 侦 听 用 户 的 Telnet、FTP 以 及 rlogin 会 
话 , 成 功 地 探测 出 用 户 密码 。 即 使 密码 没 被 攻破 ,探听 者 仍然 能 偷 看 或 访问 合法 用 户 的 
敏感 文件 ,或 阅读 他 们 感 兴趣 的 电子 邮件 等 。 入 侵 者 能 完全 监视 何人 在 使 用 网 络 。 

有 了 周边 网 络 , 如 果 有 人 侵入 周边 网 上 的 堡垒 主机 ,他 仅 能 探听 到 周边 网 上 的 通信 ， 
所 有 的 内 部 通信 都 不 能 越过 内 部 的 屏蔽 路 由 器 。 所 以 ,如 果 堡 又 主机 被 损害 ,内 部 的 通 
信 仍 将 是 安全 的 。 

但 是 ,内 部 网 络 与 外 部 世界 的 通信 ,由 于 必须 通过 防火 墙 ,因此 仍然 可 以 被 黑客 监 
视 。 要 保护 不 在 内 部 网 络 保护 中 的 信息 的 完整 性 ,最 好 的 方式 就 是 采用 加 密 。 

2) 堡垒 主机 

在 子 网 屏蔽 体系 结构 中 ,把 堡垒 主机 连接 到 周边 网 络 .这 台 主 机 便 是 接受 来 自 外 界 
连接 的 主要 入 口 。 例 如 : 允许 进来 的 电子 邮件 (SMTP) 会 话 , 传 送 电 子 邮 件 到 站 点 : 允许 


7-15 子 网 屏蔽 防火 墙 
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进来 的 FTP 连接 , 转 接 到 站 点 的 匿名 FTP 服务 器 : 允许 进来 的 域名 服务 (DNS) 站 点 查 
询 等 。 

另 一 方面 ,其 出 站 服务 (从 内 部 的 客户 端 到 在 Internet 上 的 服务 器 ) 可 以 按 如 下 任 一 
方法 处 理 。 

(1) 在 屏蔽 路 由 器 上 设置 数据 包 过 滤 来 允许 内 部 的 客户 端 直接 访问 外 部 的 服务 器 。 

(2) 设置 代理 服务 器 在 保 人 又 主机 上 运行 (要 求 防火 墙 使 用 代理 软件 ) 来 允许 内 部 的 客 
户 端 间接 地 访问 外 部 的 服务 器 。 禁 止 内 部 的 客户 端 与 外 部 用 户 之 间 直 接 通信 (包括 拨号 
入 网 方式 )。 

3) 内 部 路 由 器 

内 部 路 由 器 (在 有 关 防 火 墙 著作 中 有 时 被 称 为 阻塞 路 由 器 ) 保 护 内 部 的 网 络 使 之 免 
受 Internet 和 周边 网 络 的 侵犯 。 

内 部 路 由 器 为 用 户 的 防火 墙 执行 大 部 分 的 数据 包 过 滤 工 作 , 它 允许 从 内 部 网 到 
Internet 的 有 选择 的 出 站 服务 。 

内 部 路 由 器 所 允许 的 服务 (堡垒 主机 到 内 部 网 络 ) 和 外 部 路 由 器 所 允许 的 服务 (保全 
主机 到 Internet) 可 以 不 同 。 在 堡垒 主机 被 攻破 的 情况 下 ,限制 保 艰 主机 和 内 部 网 之 间 服 
务 可 以 减少 受到 保 垒 主机 攻击 的 主机 的 数量 。 

两 个 路 由 器 和 防火 墙 的 具体 配置 要 根据 网 络 的 实际 安全 策略 决定 。 

4) 外 部 路 由 器 

在 理论 上 ,外 部 路 由 器 (在 有 关 防 火 墙 著作 中 有 时 被 称 为 访问 路 由 器 ) 保 护 周边 网 络 
和 内 部 网 络 使 之 免 受 来 自 Internet 的 侵犯 ,是 保护 内 部 网 络 的 第 一 道 防线 。 实 际 上 ,外 
部 路 由 器 倾向 于 允许 几乎 任何 东西 从 周边 网 出 站 ,并 且 它 们 通常 只 执行 非常 少 的 数据 包 
过 滤 。 保 护 内 部 机 器 的 数据 包 过 滤 规 则 在 内 部 路 由 器 和 外 部 路 由 器 上 基本 上 应 该 是 一 
样 的 。 

一 般 外 部 路 由 器 由 外 部 群 组 提供 (如 用 户 的 Internet 供应 商 ) ,同时 用 户 对 它 的 访问 
被 限制 。 外 部 群 组 可 能 愿意 放 入 一些 通 用 型 数据 包 过 滤 规 则 来 维护 路 由 器 ,但 是 不 愿意 
使 维护 复杂 或 者 使 用 频繁 变化 的 规则 组 。 

外 部 路 由 器 能 有 效 地 执行 的 安全 任务 之 一 (通常 别 的 任何 地 方 不 容易 做 的 任务 ) 是 
阻止 从 Internet 上 伪造 源 地 址 进来 的 任何 数据 包 。 这 样 的 数据 包 自 称 来 自 内 部 的 网 络 ， 
但 实际 上 是 来 自 Internet。 


4. 防火 墙 体系 结构 的 组 合 形式 


实际 建造 防火 墙 时 ,一般 很 少 采用 单一 的 技术 ,通常 是 多 种 解决 技术 的 组 合 。 这 种 
组 合 主要 取决 于 网 管 中 心 向 用 户 提 供 什么 样 的 服务 ,以 及 网 管 中 心 能 接受 什么 样 的 等 级 
风险 。 采 用 哪 种 技术 主要 取决 于 经 费 、 投 资 的 大 小 或 技术 人 员 的 技术 .时 间 等 因素 。 一 
般 有 以 下 几 种 形式 。 

(1) 使 用 多 堡垒 主机 。 

(2) 合并 内 部 路 由 器 与 外 部 路 由 器 。 

(3) 合并 堡垒 主机 与 外 部 路 由 器 。 
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(4) 合并 堡垒 主机 与 内 部 路 由 器 。 
(5) 使 用 多 台 内 部 路 由 器 。 

(6) 使 用 多 台 外 部 路 由 器 。 

(7) 使 用 多 个 周边 网 络 。 

(8) 使 用 双 宿主 主机 与 屏蔽 子 网 。 


714 防火 墙 的 部 署 


防火 墙 的 配置 是 非常 重要 的 ,必须 保证 网 络 支持 的 协议 能 够 通过 防火 墙 ,尤其 是 要 
让 使 用 TCP53 端口 的 域名 系统 协议 (domain name system protocol) 能 够 通过 防火 墙 。 
否则 的 话 ,组 织 内 部 的 机 器 就 不 能 解析 防火 墙 外 的 机 器 名 字 。 同 样 ,如 果 想 让 防火 墙 内 
外 机 器 能 够 通信 的 话 ,也 要 保证 防火 墙 外 的 机 器 能 够 访问 相应 的 DNS 服务 器 ,这 样 它们 
才能 解析 防火 墙 内 的 主机 地 址 。 

实现 防火 墙 的 一 个 通常 办 法 是 拒绝 绝 大 部 分 从 防火 墙 外 发 起 的 到 防火 墙 内 机 器 的 
连接 。 当 然 特定 的 机 器 除外 ,这 种 机 器 是 被 保证 严格 安全 的 。 

必须 严格 限制 从 防火 墙 内 发 起 的 到 防火 墙 外 的 连接 ,必须 对 这 种 连接 特别 小 心 。 必 
须 明 白 谁 会 对 网 络 构成 威胁 以 及 什么 会 构成 威胁 。 禁 止 从 内 部 发 起 的 连接 即 意 味 着 内 
部 网 连接 到 的 主机 可 能 就 是 潜在 的 威胁 。 当 然 如 果 防 火 墙 允许 任何 协议 通过 的 话 , 某 个 
恶意 的 内 部 人 员 很 容易 攻破 防火 墙 。 

防火 墙 作为 网 络 安全 的 一 种 防护 手段 ,有 多 种 实现 方式 。 建 立 合理 的 防护 系统 , 配 
置 有 效 的 防火 墙 应 遵循 如 下 四 个 基本 步骤 : 首先 进行 风险 分 析 , 然 后 进行 需求 分 析 ,接着 
确立 安全 政策 ,最 后 选择 准确 的 防护 手段 并 使 之 与 安全 政策 保持 一 致 。 


1. 包 过 滤 路 由 器 的 配置 与 实现 


包 过 滤 路 由 器 是 最 简单 也 是 最 常见 的 防火 墙 , 它 位 于 内 部 网 络 和 外 部 网 络 之 间 , 除 
具有 路 由 功能 外 ,可 以 再 装 上 分 组 过 滤 软 件 , 利 用 分 组 过 滤 规 则 完成 基本 的 防火 墙 功能 。 

这 种 配置 的 优点 如 下 。 

(1) 容易 实现 ,费用 少 。 如 果 被 保护 网 络 与 外 界 之 间 已 经 有 一 个 独立 的 路 由 器 ,那么 
只 需 简单 地 加 一 个 分 组 过 滤 软 件 便 可 保护 整个 网 络 。 

(2) 分 组 过 滤 在 网 络 层 实现 ,不 要 求 改动 应 用 程序 ,也 不 要 求 用 户 学 习 任 何 新 的 东 
西 , 用 户 感 觉 不 到 过 滤 服 务 器 的 存在 因而 使 用 方便 。 

它 的 缺点 如 下 。 

(1) 没有 或 有 很 少 的 日 志 记录 能 力 , 因 此 网 络 管理 员 很 难 确定 系统 是 否 正在 被 人 侵 
或 已 经 被 人 侵 了 。 

(2) 规则 表 随 着 应 用 的 深化 会 很 快 变 得 很 大 而 且 复杂 ,这 样 不 仅 规则 难以 测试 ,而 且 
规则 结构 出 现 漏洞 的 可 能 性 也 会 增加 。 

(3) 这 种 防火 墙 的 最 大 弱点 是 依靠 一 个 单一 的 部 件 来 保护 系统 ,一 旦 部 件 出 现 问 题 
会 使 网 络 的 大 门 敞 开 而 用 户 可 能 还 不 知道 。 

当前 ,几乎 所 有 的 分 组 过 滤 装 置 (筛选 路 由 器 或 分 组 过 滤 网 关 ) 都 按 如 下 方式 操作 。 
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(1) 对 于 分 组 过 滤 装 置 的 有 关 端 口 必 须 设置 分 组 过 滤 准 则 ,也 称 为 分 组 过 滤 规 则 。 

(2) 当 一 个 分 组 到 达 过 滤 端 口 时 ,将 对 该 分 组 的 头 部 进行 分 析 。 大 多 数 分 组 过 滤 装 
置 只 检查 IP.TCP 或 UDP 头 部 内 的 字段 。 

(3) 分 组 过 滤 规 则 按 一 定 的 顺序 存储 。 当 一 个 分 组 到 达 时 ,将 按 分 组 规则 的 存储 顺 
序 依次 运用 每 条 规则 对 分 组 进行 检查 。 

(4) 如 果 一 条 规则 阻塞 传递 或 接收 一 个 分 组 , 则 不 允许 该 分 组 通过 。 

(5) 如 果 一 条 规则 允许 传递 或 接收 一 个 分 组 , 则 允许 该 分 组 通过 。 

(6) 如 果 一 个 分 组 不 满足 任何 规则 , 则 该 分 组 被 阻塞 。 

从 规则 (4) 和 (5) ,可 以 看 到 将 规则 按 适 当 的 顺序 排列 是 非常 重要 的 。 在 配置 包 过 滤 
规则 时 一 个 常 犯 的 错误 就 是 将 包 过 滤 规 则 按 错误 的 顺序 排列 。 如 果 一 个 包 过 滤 规 则 排 
序 有 错 , 就 有 可 能 拒绝 进行 某 些 合法 的 访问 ,而 又 可 能 允许 访问 本 想 拒绝 的 服务 。 规 则 
(6) 遵 守 未 被 明确 允许 的 就 将 被 禁止 的 原则 。 

这 是 一 个 在 设计 安全 可 靠 的 网 络 时 应 该 遵循 的 失效 安全 原则 ,与 之 相对 的 是 一 种 宽 
容 的 原则 , 即 没 有 被 明确 禁止 的 就 是 允许 的 。 

如 果 采 用 后 一 种 思想 来 设计 包 过 滤 规则 ,就 必须 仔细 考虑 包 过 滤 规 则 没有 包括 的 每 
一 种 可 能 的 情况 来 确保 网 络 的 安全 。 当 一 个 新 的 服务 被 加 入 到 网 络 中 时 ,可 以 很 容易 地 
遇 到 没有 规则 与 之 相 匹配 的 情况 。 在 这 种 情况 下 ,可 以 先 阻 塞 该 服务 , 当 听 到 用 户 因 为 
合法 的 服务 被 阻塞 而 抱怨 时 ,再 允许 该 服务 ,也 可 以 允许 用 户 自 由 地 访问 该 服务 ,直到 制 
定 了 相应 的 安全 规则 为 止 。 当 然 , 这 是 以 网 络 安全 风险 为 代价 的 。 


2. 应 用 型 防火 墙 的 配置 与 实现 


应 用 型 防火 墙 又 称 双 宿 主 网 关 ,使 用 双 宿主 主机 实现 。 双 宿主 网 关 仅 用 一 个 代理 服 
务 器 ,代理 服务 器 就 是 安装 于 双 宿 主 主机 的 代理 服务 器 软件 。 双 宿主 主机 是 一 台 有 两 块 
接口 卡 (NIC) 的 计算 机 ,每 一 块 接口 卡 有 一 个 IP 地 址 ,如 图 7-16 所 示 。 如 果 Internet 上 
的 一 台 计 算 机 想 与 Intranet 上 的 一 个 工作 站 通信 , 它 必 须 与 双 宿 主 主 机 上 能 “看 到 ”的 IP 
地 址 联系 ,如 果 规 则 允许 的 话 ,代理 服务 器 软件 会 通过 另 一 块 网 卡 (NIC) 启 动 到 对 方 网 络 
的 连接 。 应 该 指出 的 是 ,在 建立 双 宿 主 主机 时 ,应 该 关闭 操作 系统 的 路 由 功能 ,否则 从 一 
块 网 卡 (NIC) 到 另 一 块 网 卡 的 通信 会 绕 过 代理 服务 器 软件 使 双 宿 主 网 关 失 去 “防火 ” 作 
用 。Smart Wall 网 关 就 是 一 个 双 宿 主 主机 。 
服务 器 。 工作 站 


工作 站 。。 工作 中 
图 7-16 应 用 型 防火 墙 的 配置 
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双 宿 主 网 关 的 优点 如 下 。 

(1) 网 关 将 受 保护 网 络 与 外 界 完全 隔离 。 

(2) 代理 服务 器 提供 日 志 , 有 助 于 发 现 人 侵 。 

(3) 由 于 它 本 身 是 一 台 主 机 ,可 以 用 于 诸如 身份 认证 服务 器 及 代理 服务 器 ,使 其 具有 
多 种 功能 。 

(4) 由 于 域名 系统 CDNS) 的 信息 不 会 通过 受 保护 系统 传 到 外 界 , 所 以 站 点 系统 的 名 
字 和 IP 地 址 对 Internet 是 隐蔽 的 。 

双 宿 主 网 关 不 足 之 处 如 下 。 

(1) 每 项 服务 必须 使 用 专门 设计 的 代理 服务 器 ,即使 较 新 的 代理 服务 器 (如 Alta 
Vista Firewall) 能 处 理 几 种 服务 ,也 不 能 同时 服务 。 

(2) 如 果 防 火 墙 只 采用 双 宿 主 网 关 一 个 部 件 ,一 旦 该 部 件 出 问题 ,将 使 网 络 安全 受到 
危害 。 如 果 重 新 安装 操作 系统 而 忘记 关 掉 路 由 器 ,将 失去 安全 性 。 


3. 主机 屏蔽 防火 墙 的 配置 与 实现 


主机 屏蔽 防火 墙 由 分 组 过 滤 路 由 器 和 应 用 层 网 关 组 成 。 在 内 部 网 络 和 外 部 网 络 之 
间 建 立 了 两 道 安全 屏障 , 既 实现 了 网 络 层 安全 ( 包 过 滤 ), 又 实现 了 应 用 层 安 全 (代理 服 
务 )。 来 自 Internet 的 所 有 通信 都 直接 到 过 滤 路 由 器 , 它 根 据 所 设置 的 规则 过 滤 这 些 通 
信 。 在 多 数 情况 下 与 应 用 层 网 关 之 外 机 器 的 通信 都 将 被 拒绝 。 网 关 的 代理 服务 器 软件 
用 自己 的 规则 ,将 被 允许 的 通信 传送 到 受 保护 的 网 络 上 。 在 这 种 情况 下 ,应 用 层 网 关 只 
有 一 块 网 络 接口 卡 ,因此 它 不 是 双 宿 主 网 关 , 如 图 7-17 所 示 。 


名 和 


应 用 型 网 关 。 过 站 型 路 由 器 
加 与 防火 墙 
TT 

图 7-17 主机 屏 项 防火 墙 的 配置 


主机 屏蔽 防火 墙 比 双 宿 主 防火 墙 更 灵活 , 它 可 以 设置 成 使 过 滤 路 由 器 将 某 些 通 信和 直 
接 传 到 Intranet 的 站 点 ,而 不 是 传 到 应 用 层 网 关 。 而 且 包 过 滤 路 由 器 的 规则 比 网 络 过 滤 
简单 ,这 是 因为 多 数 或 所 有 通信 将 直接 到 应 用 层 网 关 。 此 外 , 它 具 有 双重 保护 ,安全 性 更 
高 。 但 是 ,要 求 对 两 个 部 件 认真 配置 以 便 能 协同 工作 ,例如 将 路 由 器 设置 成 使 所 有 通信 
路 由 到 代理 服务 器 。 即 使 包 过 滤 规 则 比较 简单 ,配置 防火 墙 的 工作 也 会 很 复杂 。 另 外 ， 
系统 的 灵活 性 会 导致 走 捷径 而 破坏 安全 ,例如 用 户 可 能 试图 避 开 代理 服务 器 直接 与 路 由 
器 建立 联系 。 
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4. 子 网 屏蔽 防火 墙 的 配置 与 实现 


子 网 屏蔽 防火 墙 是 在 主机 屏蔽 防火 墙 配 置 上 再 加 一 个 路 由 器 ,形成 一 个 被 称 为 非 军 
事 区 的 子 网 ,这 个 子 网 还 可 能 被 用 于 信息 服务 器 和 其 他 要 求 严 格 控制 的 系统 ,从 而 形成 
三 道 防线 ,如 图 7-18 所 示 。 外 部 过 滤 路 由 器 和 应 用 层 网 关 与 在 主机 屏蔽 防火 墙 中 的 功能 
相同 。 内 部 过 滤 路 由 器 在 应 用 层 网 关 与 受 保护 网 络 之 间 提 供 附 加 保护 ,万 一 人 侵 者 通过 
了 外 部 路 由 器 和 应 用 网 关 , 内 部 路 由 器 还 可 起 到 最 后 一 级 防御 。 因 此 ,一 个 人 侵 者 要 进 
人 受 保护 的 网 络 比 进入 主机 过 滤 防 火 墙 更 加 困难 。 但 是 , 它 要 求 的 设备 和 软件 模块 最 
多 ,其 配置 最 贵 且 相 当 复 杂 。 

过 滤 子 网 


内 部 过 滤 ”应 用 型 网 关 ”外 部 过 滤 
路 由 器 防火 墙 由 器 


= [LE] 
工作 站 工作 站 
图 7-18 子 网 屏蔽 防火 墙 的 配置 


5. 防火 墙 与 Web 服务 器 之 间 的 配置 策略 


防火 墙 将 极 大 地 增强 内 部 网 和 Web 站 点 的 安全 。 根 据 不 同 的 需要 ,防火 墙 在 网 中 
的 配置 有 很 多 方式 。 根 据 防火 墙 和 Web 服务 器 所 处 的 位 置 , 总 的 可 以 分 为 三 种 配置 ， 
Web 服务 器 置 于 防火 墙 之 内 、Web 服务 器 置 于 防火 墙 之 外 和 Web 服务 器 置 于 防火 墙 
之 上 

1) Web 服务 器 置 于 防火 墙 之 内 

图 7-19 是 防火 墙 作 用 的 图 示 。 在 此 模式 中 ,Web 服务 器 置 于 防火 墙 之 内 。 


服务 器 


工作 站 


Web 服 务 器 


[时 | [对 ] 
工作 站 工作 站 


7-19 ”Web 服务 器 置 于 防火 墙 之 内 
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将 Web 服务 器 装 在 防火 墙 内 的 好 处 是 它 得 到 了 安全 保护 ,不 容易 被 黑客 交 入 ,但 不 
易 被 外 界 所 用 。 当 Web 站 点 主要 用 于 宣传 企业 形象 时 ,显然 这 不 是 好 的 配置 ,这 时 应 当 
将 Web 服务 器 放 在 防火 墙 之 外 。 

2) Web 服务 器 置 于 防火 墙 之 外 

图 7-20 是 Web 服务 器 置 于 防火 墙 之 外 的 配置 图 示 。 


引 避 
下 


防火 墙 Web 服 务 器 


= 
工作 站 工作 站 
7-20 ”Web 服务 器 置 于 防火 墙 之 外 


事实 上 ,为 保证 内 部 网 络 的 安全 将 Web 服务 器 完全 置 于 防火 墙 之 外 是 比较 合适 的 。 
在 这 种 模式 中 ,Web 服务 器 不 受 保护 ,但 内 部 网 则 处 于 保护 之 下 ,即使 黑客 间 进 了 受 保护 
的 Web 站 点 ,内 部 网 络 仍 是 安全 的 。 代 理 支 持 在 此 十 分 重要 ,特别 是 在 这 种 配置 中 , 防 
火 墙 对 Web 站 点 的 保护 几乎 不 起 作用 。 

3) Web 服务 器 置 于 防火 墙 之 上 

一 些 管理 者 试图 在 防火 墙 机 器 上 运行 Web 服务 器 ,以 此 增强 Web 站 点 的 安全 性 。 
这 种 配置 的 缺点 是 一 旦 服务 器 有 一 点 毛病 ,整个 组 织 和 Web 站 点 就 全 部 处 于 危险 之 中 。 
图 7-21 是 此 种 配置 的 图 示 。 


服务 器 。 工作 站 
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1 

防火 墙 和 Web 服 务 器 。 “| 
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工作 站 工作 站 


图 7-21 Web 服务 器 置 于 防火 墙 之 上 


这 种 基本 配置 有 多 种 变化 ,包括 利用 代理 服务 器 双重 防火 墙 、, 利 用 成 对 的 “人 ”、 
“出 ?服务 器 提供 对 公众 信息 的 访问 及 内 部 网 络 对 私人 文档 的 访问 。 

一 些 防 火 墙 的 结构 不 允许 将 Web 服务 器 设置 其 外 。 在 这 种 情况 下 将 不 得 不 打通 防 
火 墙 , 具 体 步 又 如 下 。 

(1) 允许 防火 墙 传递 对 端口 80 的 请 求 ,访问 请 求 或 被 限制 到 Web 站 点 或 从 Web 站 
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点 返回 (假定 正 使 用 “主机 屏蔽 型 "防火 墙 )。 

(2) 可 在 防火 墙 机 器 上 安装 代理 服务 器 ,但 需要 一 个 “ 双 宿 主 网 关 ” 类 型 的 防火 墙 。 
来 自 Web 服务 器 的 所 有 访问 请 求 在 被 代理 服务 器 截获 之 后 才 传 给 服务 器 。 对 访问 请 求 
的 回答 直接 返回 给 请 求 者 。 


715 防火 墙 的 选择 因素 


防火 墙 不 是 路 由 器 交换 机 或 者 服务 器 (虽然 看 起 来 比较 像 ) ,所 以 不 能 用 那些 产品 
的 指标 来 选择 防火 墙 。 那 么 选择 防火 墙 应 该 注意 哪些 方面 呢 ? 


1. 防火 墙 本 身 的 安全 性 


这 是 重 中 之 重 。 安 全 性 不 高 的 防火 墙 , 其 他 性 能 再 好 也 是 空谈 。 由 于 防火 墙 本 身 会 
暴露 在 网 络 访问 之 下 ,所 以 其 自身 的 安全 性 是 一 个 应 该 优先 被 考虑 的 问题 。 产 品 本 身 所 
采用 的 系统 架构 是 否 健 壮 、 是 否 存 在 安全 漏洞 .是 否 有 被 拒绝 服务 攻击 击溃 的 历史 等 , 功 
能 和 配置 上 是 否 可 以 处 理 IP 欺骗 ,密码 猜测 等 常见 的 攻击 手段 ,这 些 都 是 衡量 标准 。 另 
外 还 需 注意 的 是 考察 防火 墙 所 支持 的 认证 方式 ,支持 方式 较为 广泛 .与 网 内 认证 措施 协 
同 较 好 的 产品 无 疑 具 有 更 高 的 安全 性 。 

具体 来 说 安全 性 包括 几 个 方面 .自身 安全 性 ,访问 控制 能 力 和 抗 攻击 能 力 。 

(1) 自身 安全 性 主要 是 指 防火 墙 系 统 的 健壮 性 ,也 就 是 说 防火 墙 本 身 应 该 是 难以 被 
攻 入 的 。 还 有 防火 墙 的 管理 方式 也 很 重要 ,如 管理 员 采 用 Telnet 还 是 Web 管理 防火 墙 ， 
有 没有 加 密 和 认证 等 。 

(2) 访问 控制 能 力 是 防火 墙 的 核心 功能 。 访 问 控制 能 力 包括 控制 细 度 ,也 就 是 能 控 
制 哪些 内 容 , 比 如 地 址 .协议 .端口 .时 间 、. 用 户 、 命 令 . 附 件 等 。 还 要 注意 的 就 是 控制 强 
度 , 即 应 该 限制 的 内 容 必 须 全 部 阻 断 , 而 应 该 通过 的 内 容 不 应 该 有 任何 阻 断 。 

(3) 抗 攻击 能 力 是 指 防火 墙 对 各 种 攻击 的 抵抗 能 力 , 包 括 抵御 攻击 的 种 类 ,数量 。 特 
别 是 对 DoS 和 DDoS 攻击 的 抵抗 力 。 目 前 对 于 DDoS 攻击 还 没有 什么 完善 的 解决 办 法 ， 
因此 对 DDoS 攻击 主要 看 能 抵御 的 强度 有 多 大 。 

用 户 在 选择 防火 墙 的 时 候 , 自 己 来 判断 以 上 这 些 性 能 是 很 困难 的 ,因为 用 户 没有 专 
门 的 测试 工具 和 手段 。 可 以 根据 一 些 第 三 方 的 认证 和 评测 来 辅助 判断 ,例如 是 否 拥有 安 
全 性 较 严 格 的 军队 认证 或 是 中 国信 息 安全 产品 测评 认证 中 心 的 等 级 证 书 。 现 在 用 的 标 
准 是 国标 gb/tl8336 ,一 共 7 级 ,等 级 越 高 越 好 。 


2. 数据 处 理性 能 


防火 墙 是 个 网 络 设备 。 在 保证 安全 的 基础 上 ,应 该 最 大 程度 减少 对 网 络 数据 处 理性 
能 的 影响 。 作 为 选择 的 最 重要 参考 项 目 .硬件 防火 墙 的 数据 处 理性 能 的 核心 主要 是 防火 
墙 处 理 数 据 包 的 能 力 ,如 吞吐 率 、 转 发 率 、 丢 包 率 ,缓冲 能 力 和 延迟 等 都 是 衡量 硬件 性 能 
的 标准 。 

当然 ,防火 墙 在 包 处 理 时 采用 的 算法 等 因素 也 会 在 很 大 程度 上 影响 防火 墙 在 实际 使 
用 中 的 性 能 表现 ,这 也 是 选 购 应 考虑 的 因素 。 防 火 墙 在 策略 起 作用 和 全 通 策略 的 状态 
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下 ,上 述 指标 都 是 不 一 样 的 ,用 户 一 定 要 考虑 实际 环境 。 可 以 先 按 照 用 户 的 要 求 添加 策 
略 ( 全 通 策略 在 最 后 ) 然 后 再 测试 。 传 说 中 有 的 百 兆 防火 墙 小 包 (64 字 节 ) 通 过 率 能 达到 
70% 以 上 ,甚至 90% ,但 实际 使 用 中 不 大 可 能 。 之 所 以 能 够 测试 出 这 样 的 数据 只 有 两 个 
可 能 ,一 是 采用 高 性 能 硬件 ,比如 采用 了 千 兆 网 卡 芯 片 , 二 是 在 测试 机 的 内 核 做 手脚 。 


3. 网 络 功能 


这 里 包括 的 内 容 就 多 了 ,有 地 址 转换 .IP/ MAC 绑 定 .静态 和 动态 路 由 、 源 地 址 路 由 、 
代理 、 透 明代 理 .ADSL 拨号 .DHCP 支持 、 双 机 热 备 、 负 载 均衡 等 。 

在 这 些 眼花 练 乱 的 功能 里 ,用 户 应 该 有 一 双 明 亮 的 眼睛 。 因 为 并 不 是 每 一 个 功能 都 
需要 ,也 不 需要 为 了 一 些 不 需要 的 功能 花 客 枉 钱 。 当 然 , 价 钱 相 等 的 情况 下 功能 越 多 越 
好 。 应 该 首先 明确 需要 什么 功能 ,并 且 要 确定 这 些 功 能 都 要 达到 什么 效果 ,然后 再 寻找 
相应 的 设备 。 有 些 功能 在 不 同 厂家 的 定义 是 不 同 的 ,实现 的 效果 也 不 一 样 。 


4. 管理 功能 


这 里 面 的 内 容 也 不 少 ,不 要 小 看 了 这 里 的 东西 。 防 火 墙 不 像 交 换 机 ,安装 好 了 50 年 
不 用 管 。 防 火 墙 需要 经 常 管理 ,日 常 的 管理 就 是 查看 日 志 、 修 订 策略 、 添 加 和 删除 用 户 。 
一 款 防火 墙 的 配置 管理 是 否 容 易 直 接 决定 了 安全 管理 员 的 工作 量 , 也 是 防火 增产 品 能 否 
很 好 应 用 的 重要 保障 。 非 常 复杂 凌乱 的 配置 很 容易 造成 安全 策略 实现 上 的 错误 , 埋 下 安 
全 隐患 ,要 是 在 这 样 复杂 的 信息 环境 下 ,管理 成 本 和 维护 成 本 的 增加 会 消耗 掉 企 业 很 大 
的 开支 。 

更 高 的 管理 还 包括 第 三 方 互动 .VPN 建立 .远程 集中 管理 等 。 在 管理 方面 ,应 该 注 
意 界面 的 友好 性 ,设置 选项 应 该 通俗 易 懂 。 远 程 管理 对 用 户 来 说 ,要 注意 管理 命令 的 加 
密 和 认证 .是 否 支 持 策 略 远程 导入 导出 等 。 至 于 管理 的 界面 是 否 好 看 , 那 就 看 个 人 喜 
好 本 


5. 日 志 能 力 


任何 安全 系统 都 有 被 攻破 的 可 能 ,对 于 攻击 者 来 说 ,最 大 的 安全 威胁 不 是 部 署 何 种 
安全 装备 ,而 是 在 攻击 行为 发 生 后 ,被 攻击 方 是 否 有 足够 的 证 据 和 信息 提出 法 律 诉讼 ,所 
以 在 关心 了 功能 和 人 性 能 方面 的 参数 之 后 ,一 定 不 要 忽略 防火 墙 产品 的 日 志 处 理 能 力 。 一 
款 日 志 功 能 强大 的 防火 墙 ,日 志 系统 应 该 有 详细 的 记录 ,记录 的 项 目 应 比较 全 面 ,包括 连 
接 的 状态 和 内 容 ,这样 可 以 有 效 地 防范 日 志 被 自 改 ,并 能 利用 多 种 途径 将 日 志 数据 定期 
备份 到 指定 机 器 。 同 时 ,要 考查 防火 墙 产品 的 日 志 查看 能 力 , 包 括 查看 途径 的 多 少 、 信 息 
显示 的 合理 性 等 ,应 该 便于 分 类 和 排序 ,应 该 方便 存 人 数据 库 并 有 syslog 等 标准 的 接口 。 


6. 产品 兼容 性 


网 络 安全 的 保障 需要 依赖 设计 良好 功能 完整 的 体系 ,单单 靠 一 种 产品 是 无 法 解决 所 
有 问题 的 ,所 以 在 选 购 安全 产品 的 时 候 应 注意 该 产品 与 其 他 安全 部 件 以 及 现 有 设备 之 间 
的 兼容 性 ,否则 购买 之 后 如 果 在 整体 环境 中 造成 冲突 ,将 极 大 浪费 宝贵 的 安全 投资 。 像 
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防火 墙 这 种 通用 的 产品 ,在 行业 内 通常 都 有 很 多 开放 式 接口 ,用 于 产品 开发 者 处 理 不 同 
厂商 和 不 同类 型 产品 的 互 连 问题 。 绝 对 没有 一 种 产品 就 能 全 部 解决 问题 的 ,很 多 厂商 在 
开发 不 同 的 产品 时 根本 就 没有 考虑 系统 互 操作 的 问题 。 


7. 质量 


防火 墙 的 质量 表现 可 不 是 做 工 精细 不 精细 ,而 是 防火 墙 是 否 能 经 久 耐 用 。 现 在 比较 
先进 的 防火 墙 普 遍 采 用 的 是 贴 板 技术 ,也 就 是 将 所 有 的 原件 都 采用 贴 片 的 工艺 。 这 样 整 
个 防火 墙 都 是 一 体 的 ,自然 不 容易 出 故障 。 如 果 防 火 墙 的 内 存 、 网 卡 还 采用 插 模 的 方式 ， 
甚至 还 采用 普通 硬盘 作为 系统 内 核 存储 设备 , 那 系统 的 稳定 性 就 可 想 而 知 了 。 另 外 在 高 
稳定 性 要 求 的 环境 里 要 看 有 没有 双 电 源 , 大 功率 风扇 等 。 虽 然 看 上 去 是 细节 ,但 是 对 于 
防火 墙 的 稳定 运行 是 非常 重要 的 。 

目前 ,涉及 防火 墙 产 品 的 厂商 众多 , 主要 厂商 有 Cisco、Checkpoint、NetScreen、 
Amaranten、Radware、 熊 猫 、 天 融 信 、 东 软 、 联 想 网 御 、 远 东 网 安 等 ,用 户 在 采购 前 可 以 根 
据 自 己 网 络 现状 和 网 络 应 用 向 相关 的 厂商 进行 详细 的 咨询 。 总 的 来 说 , 包 过 滤 防 火 墙 和 
应 用 网 关 防 火 墙 还 属于 初级 防火 墙 ,对 应 规模 不 大 的 中 型 企业 使 用 ,而 状态 检测 防火 墙 
和 复合 型 防火 墙 则 拥有 更 强 的 安全 性 ,适合 大 规模 的 企业 或 其 他 部 署 使 用 。 


72 入 侵 检 测 与 防 入 系统 


网 络 互联 以 后 ,入 侵 者 可 以 通过 网 络 实 施 远程 人 侵 。 而 入 侵 行 为 与 正常 的 访问 或 多 
或 少 有 些 差别 ,通过 收集 和 分 析 这 种 差别 可 以 发 现 大 部 分 的 入 侵 行 为 ,入 侵 检 测 技术 就 
是 应 这 种 需求 而 诞生 的 。 经 人 侵 检 测 发 现 人 侵 行为 后 ,可 以 采取 相应 的 安全 措施 ,如 报 
警 . 记 录 、 切 断 或 拦截 等 ,从 而 提高 网 络 的 安全 应 变 能 力 。 


721 入 侵 检测 的 概述 


1. 入 侵 检 测 基本 概念 


和 人 侵 检 测 (intrusion detection) 是 对 入 侵 行为 的 发 现 。 它 从 计算 机 网 络 或 计算 机 系 
统 的 关键 点 收集 信息 并 进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 
被 攻击 的 迹象 。 负 责 入 侵 的 软 硬 件 组 合体 称 为 人 侵 检测 系统 (IDS)。 

Denning 于 1987 年 提出 了 一 种 通用 的 入侵 检测 模型 (IDES 原型 系统 )。IDES 原型 
系统 采用 的 是 一 个 混合 结构 ,包含 了 一 个 异常 检测 器 和 一 个 专家 系统 。 

图 7-22 所 示 为 IDES 原型 系统 。 异 常 检测 器 采用 统计 技术 刻画 异常 行为 ,专家 系统 
采用 基于 规则 的 方法 检测 已 知 的 危害 行为 。 异 常 检测 器 对 行为 的 渐变 是 自 适应 的 ,因此 
引入 专家 系统 能 有 效 防止 逐步 改变 的 入 侵 行 为 ,提高 准确 率 。 该 模型 为 入侵 检测 技术 的 
研究 提供 了 良好 的 框架 结构 。 

入 侵 检测 内 容 包括 试图 冯 和 人、 成 功 交 信人、 冒充 其 他 用 户 、 违 反 安 全 策略 、 合 法 用 户 的 
泄露 .独占 资源 以 及 恶意 使 用 等 。 入 侵 检 测 技术 是 动态 安全 技术 的 最 核心 技术 之 一 。 传 
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7-22 IDES 原型 系统 


统 的 操作 系统 加 固 技术 和 防火 墙 技术 等 都 是 静态 安全 防御 技术 ,对 网 络 环境 下 日 新 月 异 
的 攻击 手段 缺乏 主动 的 反应 。 入 侵 检 测 技术 通过 对 入 侵 行为 的 过 程 与 特征 的 研究 ,使 安 
全 系统 对 入 侵 事 件 和 入 侵 过 程 能 做 出 实时 响应 。 

入 侵 检测 系统 能 完成 如 下 任务 。 

(1) 监视 ,分 析 用 户 及 系统 活动 ,查找 非法 用 户 和 合法 用 户 的 越权 操作 。 

(2) 对 系统 构造 和 弱点 的 审计 ,并 提示 管理 员 修补 漏洞 。 

(3) 识别 反映 已 知 进攻 的 活动 模式 并 向 相关 人 员 报 警 ,能 够 实时 对 检测 到 的 和 人 侵 行 
为 进行 反应 。 

(4) 对 异常 行为 模式 的 统计 分 析 ,发 现 人 侵 行 为 的 规律 。 

(5) 评估 重要 系统 和 数据 文件 的 完整 性 ,如 计算 和 比较 文件 系统 的 校 验 和 。 

(6) 对 操作 系统 的 审计 跟踪 管理 ,并 识别 用 户 违 反 安全 策略 的 行为 。 

对 一 个 成 功 的 人 侵 检测 系统 来 讲 , 它 应 该 能 够 使 系统 管理 员 时 刻 了 解 网 络 系统 ( 包 
括 程 序 ,文件 和 硬件 设备 等 ) 的 任何 变更 ;为 网 络 安全 策略 的 制定 提供 指南 ;提供 简单 . 方 
便 的 管理 配置 方法 ;入 侵 检测 的 规模 应 根据 网 络 威胁 .系统 构造 和 安全 需求 的 改变 而 改 
变 ; 入 侵 检测 系统 在 发 现 人 侵 后 ,应 及 时 做 出 响应 ,包括 切断 网 络 连接 .记录 事件 和 报 


警 等 。 
2. 入 侵 检测 原理 


入 侵 检测 系统 是 根据 入 侵 行为 与 正常 访问 行为 的 差别 来 识别 人 侵 的 ,根据 入 侵 识 别 
采用 的 原理 不 同 , 可 以 分 为 异常 检测 . 误 用 检测 和 特征 检测 三 种 。 
1) 异常 检测 
进行 异常 检测 的 前 提 是 认为 入 侵 是 异常 活 
动 的 子 集 。 异 常 检测 系统 通过 运行 在 系统 或 应 CE 
用 层 的 程序 来 监控 用 户 的 行为 ,将 当前 主体 的 比较 。「 用户 轮 抽 
活动 情况 和 用 户 轮廓 进行 比较 。 用 户 轮廓 通 党 
定义 为 各 种 行为 参数 及 其 六 值 的 集合 ,用 于 描 
述 正常 行为 范围 。 当 用 户 活动 与 正常 行为 有 重 
大 偏离 时 即 被 认为 是 入 侵 ,如 图 7-23 所 示 。 如 图 7-23 异常 检测 模型 


超过 闽 值 


#0: 网 络 安全 系统 
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果 系 统 错误 地 将 异常 活动 定义 为 人 侵 , 称 为 错 报 ;如 果 系 统 未 能 识别 真正 的 入 侵 行为 称 
为 漏 报 。 这 是 衡量 入 侵 检 测 系统 性 能 很 重要 的 两 个 指标 模型 。 

异常 检测 系统 的 效率 取决 于 用 户 轮廓 的 完备 性 和 监控 的 频率 。 由 于 不 需要 对 每 种 
入 侵 行为 进行 定义 ,因此 能 检测 未 知 的 入 侵 。 同 时 系统 能 针对 用 户 行为 的 改变 进行 自我 
调整 和 优化 ,但 随 着 检测 模型 的 逐步 精确 ,异常 检测 会 消耗 更 多 的 系统 资源 。 

常见 的 异常 检测 方法 包括 统计 异常 检测 、 基 于 特征 选择 的 异常 检测 、 基 于 贝 叶 斯 推 
理 的 异常 检测 、 基 于 模式 预测 的 异常 检测 .基于 神经 网 络 的 异常 检测 、 基 于 贝 叶 斯 聚 类 的 
异常 检测 .基于 机 器 学 习 的 异常 检测 等 。 目 前 一 种 比较 流行 的 方法 就 是 采用 数据 挖掘 技 
术 来 发 现 各 种 异常 行为 之 间 的 关联 性 ,包括 源 IP 关联 .目的 IP 关联 ,特征 关联 .时 间 关 联 
等 。 

2) 误 用 检测 

进行 误 用 检测 的 前 提 是 所 有 的 人 侵 行 为 都 有 可 被 检测 到 特征 。 误 用 检测 系统 提供 
攻击 特征 库 , 当 监测 的 用 户 或 系统 行为 与 库 中 的 记 


录 相 匹配 时 ,系统 就 认为 这 种 行为 是 入 侵 , 如 [CR CEYfi 7 


图 7-24 所 示 。 如 果 入 侵 特征 与 正常 的 用 户 行为 匹 H 镑 .| 矿 玉 | LE 

配 , 则 系统 会 发 生 错 报 ; 如果 没有 特征 能 与 某 种 攻 特征 库 

击 行为 匹配 , 则 系统 会 发 生 漏 报 。 入 
采用 特征 匹配 , 误 用 模式 能 明显 降低 错 报 率 ， < 2 

但 漏 报 率 随 之 增加 。 攻 击 特征 的 细微 变化 ,会 使 得 图 724 误 用 检测 模型 

误 用 检测 无 能 为 力 。 


常见 的 误 用 检测 方法 包括 基于 条 件 概 率 的 误 用 入 侵 检测 、 基 于 专家 系统 的 误 用 入 侵 
检测 ,基于 状态 迁移 的 误 用 入 侵 检测 .基于 键盘 监控 的 误 用 入 侵 检 测 .基于 模型 的 误 用 人 
侵 检测 等 。 

以 基于 条 件 概率 的 误 用 入 侵 检 测 方 法 为 例 ,该 方法 将 入 侵 方式 对 应 于 一 个 事件 序 
列 ,然后 通过 观测 事件 发 生 情况 来 推测 人 侵 出 现 。 这 种 方法 的 依据 是 外 部 事件 序列 , 根 
据 贝 叶 斯 定理 进行 推理 检测 入 侵 。 

3) 特征 检测 

和 以 上 两 种 检测 方法 不 同 , 特 征 检测 关注 的 是 系统 本 身 的 行为 。 定 义 系统 行为 轮 
廓 ,并 将 系统 行为 与 轮廓 进行 比较 ,对 未 指明 为 正常 行为 的 事件 定义 为 人 侵 。 特 征 检测 
系统 常 采 用 某 种 特征 语言 定义 系统 的 安全 策略 。 

这 种 检测 方法 的 错 报 与 行为 特征 定义 准确 度 有 关 , 当 系统 特征 不 能 吉 括 所 有 的 状态 
时 就 会 产生 漏 报 。 

特征 检测 最 大 的 优点 是 可 以 通过 提高 行为 特征 定义 的 准确 度 和 覆盖 范围 ,大 幅度 降 
低 漏 报 和 错 报 率 。 最 大 的 不 足 是 要 求 严格 定义 安全 策略 ,这 需要 经 验 和 技巧 ,另外 维护 
动态 系统 的 特征 库 通 常 是 很 耗 时 的 事情 。 

由 于 这 些 检测 各 有 优 缺 点 ,许多 实际 入 侵 检 测 系统 通常 同时 采用 两 种 以 上 的 方法 
实现 。 
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722 入 侵 检测 分 类 


1. 基于 主机 的 入 侵 检测 系统 


基于 主机 的 人 侵 检测 系统 通过 监视 与 分 析 主 机 的 审计 记录 检测 人 侵 。 这 些 系统 的 
实现 不 全 在 目标 主机 上 .有 一 些 采用 独立 的 外 围 处 理 机 ,如 Havscack。 另 外 NIDES 使 用 
网 络 将 主机 信息 传 到 中 央 处 理 单元 ,但 它们 全 部 是 根据 目标 系统 的 审计 记录 工作 。 能 否 
及 时 采集 到 审计 记录 是 这 些 系统 的 难点 之 一 ,从 而 有 的 人 侵 者 会 将 主机 审计 子 系统 作为 
攻击 目标 以 避 开 人 侵 检测 系统 。 典 型 的 基于 主机 的 入 侵 检测 系统 模型 如 图 7-25 所 示 。 

基于 主机 的 人 侵 检测 系统 具有 检测 效率 高 ,分 析 代 价 小 ,分 析 速 度 快 的 特点 ,能 够 迅 
速 准确 地 定位 人 侵 者 ,并 可 以 结合 操作 系统 和 应 用 程序 的 行为 特征 对 和 人 侵 进 行进 一 步 分 
析 。 但 它 也 存在 问题 。 首 先 它 在 一 定 程度 上 依赖 于 系统 的 可 靠 性 , 它 要 求 系统 本 身 应 该 
具备 基本 的 安全 功能 并 具有 合理 的 设置 ,然后 才能 提取 入 侵 信息 : 即使 进行 了 正确 的 设 
置 ,对 操作 系统 熟悉 的 攻击 者 仍然 有 可 能 在 入 侵 行 为 完成 后 及 时 地 将 入 侵 信 息 抹 去 ,从 
而 不 被 发 觉 。 其 次 主机 的 日 志 能 够 提供 的 信息 有 限 , 有 的 入 侵 手 段 和 途径 不 会 在 日 志 中 
有 所 反映 。 最 后 ,在 数据 提取 的 实时 性 、 充 分 性 、 可 靠 性 方面 ,基于 主机 日 志 的 入 侵 检测 
系统 不 如 基于 网 络 的 和 人 侵 检测 系统 。 


2. 基于 网 络 的 入 侵 检 测 系 统 


基于 网 络 的 入 侵 检测 系统 模型 如 图 7-26 所 示 ,在 共享 网 段 上 对 通信 数据 进行 侦 听 、 
采集 数据 并 分 析 可 疑 现 象 。 与 主机 系统 相 比 ,这 类 系统 对 入 侵 者 而 言 是 透明 的 。 由 于 这 
类 系统 不 需要 主机 提供 严格 的 管理 ,因而 对 主机 资源 消耗 少 ,并 且 由 于 网 络 协议 是 标准 
的 , 它 可 提供 对 网 络 通用 的 保护 ,而 无 须 顾及 异 构 主 机 的 不 同 架构 。 基 于 网 关 的 检测 系 
统 可 以 认为 是 这 类 系统 的 变种 。 


目标 系统 
| 审计 记录 
审计 记录 收集 方法 
审计 记录 预 处 理 
fs 
异常 检测 误 用 检测 
| 管理 配置 
安全 管理 员 接口 | 一 一 | 宙 引 尝 娄 所 一 >。 分析 结果 人 
入 侵 分 析 引 党 器 
1 
侦 听 器 | | 侦 听 器 


图 7-25 基于 主机 的 入 侵 检 测 系统 模型 图 7-26 基于 网 络 的 入 侵 检测 系统 模型 
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网 络 人 侵 检测 系统 能 够 检测 那些 来 自 网 络 的 攻击 和 超过 授权 的 非法 访问 。 网 络 人 
侵 检测 系统 不 和 路 由 器 ,防火 墙 等 关键 设备 以 同样 的 方式 工作 ,因此 也 不 会 成 为 系统 中 
的 关键 路 径 , 它 发 生 故 障 不 会 影响 正常 业务 的 运行 。 

网 络 人 侵 检 测 系统 只 能 检测 与 它 直 接 相 连 的 网 段 的 通信 ,不 能 检测 在 不 同 网 段 的 数 
据 包 。 在 使 用 交换 式 以 太 网 的 环境 中 就 会 出 现 监测 范围 的 局 限 ,而 安装 多 台 网 络 入 侵 检 
测 系统 的 传感器 会 使 部 署 整个 系统 的 成 本 大 大 增加 。 同 时 ,网 络 人 侵 检测 系统 为 了 性 能 
目标 通常 采用 特征 检测 的 方法 , 它 可 以 检测 出 一 些 普通 的 攻击 ,而 很 难 实现 一 些 复杂 的 
需要 大 量 计算 与 分 析 时 间 的 攻击 检测 。 网 络 入 侵 检测 系统 可 能 会 将 大 量 的 数据 传 回 分 
析 系 统 中 。 在 一 些 系 统 中 监听 特定 的 数据 包 会 产生 大 量 的 分 析 数 据 流量 。 有 些 系统 在 
实现 时 采用 一 定 方法 来 减少 回 传 的 数据 量 ,对 入 侵 判 断 的 决策 由 传感器 实现 ,而 中 央 控 
制 台 成 为 状态 显示 与 通信 中 心 ,不 再 作为 人 侵 行为 分 析 器 。 


723 入 侵 检测 技术 常用 的 检测 方法 


入 侵 检测 系统 常用 的 检测 方法 有 特征 检测 .统计 检测 与 专家 系统 。 目 前 入侵 检 测 系 
统 中 绝 大 多 数 属于 使 用 入 侵 模板 进行 模式 匹配 的 特征 检测 系统 ,其 他 是 少量 采用 概率 统 
计 的 统计 检测 系统 与 基于 日 志 的 专家 系统 知识 库 系统 。 


1， 特征 检测 


特征 检测 对 已 知 的 攻击 或 人 侵 的 方式 做 出 确定 性 的 描述 ,形成 相应 的 事件 模式 。 当 
被 审计 的 事件 与 已 知 的 入侵 事件 模式 相 匹配 时 则 立即 报警 。 特 征 检测 在 原理 上 与 专家 
系统 相仿 ,在 检测 方法 上 与 计算 机 病毒 的 检测 方式 类 似 。 目 前 基于 对 包 特征 描述 的 模式 
匹配 应 用 较为 广泛 。 该 方法 预报 检测 的 准确 率 较 高 ,但 对 于 没有 先 验 知识 ( 即 专家 系统 
中 的 预定 义 规则 ) 的 入 侵 与 攻击 行为 无 能 为 力 。 


2. 统计 检测 


统计 检测 常用 于 异常 检测 ,在 统计 模型 中 常用 的 测量 参数 包括 审计 事件 的 数量 、 间 
隔 时 间 、 资 源 消耗 情况 等 。 常 用 的 统计 入 侵 检 测 的 五 种 模型 为 操作 模型 .方差 多 元 模 
型 ,马尔 柯 夫 过 程 模型 .时 间 序 列 分 析 。 


3. 专家 系统 


专家 系统 使 用 规则 对 入 侵 进 行 检测 。 所 谓 的 规则 就 是 知识 ,不 同 的 系统 与 设置 具有 
不 同 的 规则 , 且 规 则 之 间 往 往 无 通用 性 。 专 家 系统 的 建立 依赖 于 知识 库 的 完备 性 ,知识 
库 的 完备 性 又 取决 于 审计 记录 的 完备 性 与 实时 性 。 入 侵 的 特征 抽取 与 表达 是 入 侵 检测 
专家 系统 的 关键 。 在 系统 实现 中 ,将 有 关 入 侵 的 知识 转化 为 if-then 结构 (也 可 以 是 复合 
结构 ) ,条 件 部 分 为 人 侵 特征 ,then 部 分 是 系统 防范 措施 。 运 用 专家 系统 防范 有 特征 入侵 
行为 的 有 效 性 完全 取决 于 专家 系统 知识 库 的 完备 性 。 

该 技术 根据 安全 专家 对 可 疑 行为 的 分 析 经 验 来 形成 一 套 推理 规则 ,然后 在 此 基础 上 
建立 相应 的 专家 系统 ,由 此 专家 系统 自动 进行 对 所 涉及 的 入 侵 行 为 的 分 析 工 作 。 该 系统 
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应 当 能 够 随 着 经 验 的 积累 而 利用 其 自学 习 能 力 进行 规则 的 扩充 和 修正 。 
724 入 侵 检测 技术 的 发 展 方向 

入 侵 检测 技术 的 发 展 方向 大 致 有 以 下 几 个 。 

1. 分 布 式 入 侵 检测 


传统 的 IDS 局 限于 单一 的 主机 或 网 络 架构 ,对 异 构 系 统 及 大 规模 的 网 络 检测 明显 不 
足 , 不 同 的 IDS 系统 之 间 不 能 协同 工作 。 为 解决 这 一 问题 ,需要 发 展 分 布 式 人 侵 检测 技 
术 与 通用 入 侵 检测 架构 。 第 一 层 含义 针对 分 布 式 网 络 攻击 的 检测 方法 ;第 二 层 含义 是 使 
用 分 布 式 的 方法 来 检测 分 布 式 的 攻击 ,其 中 的 关键 技术 是 检测 信息 的 协同 处 理 与 人 侵 攻 
击 的 全 局 信息 的 提取 。 


2. 智能 化 入 侵 检 测 


智能 化 人 侵 检 测 即 使 用 智能 化 的 方法 与 手段 来 进行 人 侵 检测 。 所 谓 的 智能 化 方法 ， 
现 阶段 常用 的 有 神经 网 络 .遗传 算法 ,模糊 技术 等 方法 ,这 些 方法 常用 于 入 侵 特征 的 辨识 
与 泛 化 。 利 用 专家 系统 的 思想 来 构建 人 侵 检 测 系统 也 是 常用 的 方法 之 一 。 特 别 是 具有 
自学 习 能 力 的 专家 系统 ,实现 了 知识 库 的 不 断 更 新 与 扩展 ,使 设计 的 入侵 检测 系统 的 防 
范 能 力 不 断 增强 ,具有 更 广泛 的 应 用 前 景 。 应 用 智能 化 的 概念 来 进行 人 侵 检测 的 尝试 已 
经 开始 。 较 为 一 致 的 解决 方案 应 为 高 效 常 规 意义 下 的 入侵 检测 系统 与 具有 智能 检测 功 
能 的 检测 软件 或 模块 的 结合 使 用 。 目 前 ,尽管 已 经 有 智能 化 、 神 经 网 络 与 遗传 算法 在 人 
侵 检测 领域 的 应 用 研究 ,但 这 只 是 一 些 尝试 性 的 研究 工作 , 仍 需 对 智能 化 IDS 加 以 进 一 
步 的 研究 ,以 解决 其 自学 习 与 自 适应 的 能 力 。 


3. 应 用 层 入 侵 检测 


许多 入 侵 的 语义 只 有 在 应 用 层 才能 理解 ,而 目前 的 IDS 仅 能 检测 如 Web 之 类 的 通 
用 协议 ,而 不 能 处 理 如 Lotus Notes ,数据库 系 统 等 其 他 的 应 用 系统 。 


4. 高 速 网 络 的 入 侵 检 测 


在 IDS 中 ,截获 网 络 的 每 一 个 数据 包 , 并 分 析 、 匹 配 其 中 是 否 具 有 某 种 攻击 的 特征 需 
要 花费 大 量 的 时 间 和 系统 资源 ,因此 大 部 分 现在 的 IDS 只 有 几 百 兆 的 检测 速度 , 随 着 千 
兆 甚 至 万 兆 网 络 的 大 量 应 用 ,需要 研究 高 速 网 络 的 入 侵 检测 。 


5. 入 侵 检测 系统 的 标准 化 


在 大 型 网 络 中 ,网 络 的 不 同 部 分 可 能 使 用 了 多 种 入 侵 检 测 系统 ,甚至 还 有 防火 墙 漏 
洞 扫描 等 其 他 类 别 的 安全 设备 ,这 些 入 侵 检测 系统 之 间 以 及 IDS 和 其 他 安全 组 件 之 间 如 
何 交换 信息 ,共同 的 协作 来 发 现 攻击 、 做 出 响应 并 阻止 攻击 是 关系 整个 系统 安全 性 的 重 
要 因素 。 例 如 ,漏洞 扫描 程序 例 行 的 试探 攻击 就 不 应 该 触发 IDS 的 报警 : 而 利用 伪造 的 
源 地 址 进行 攻击 ,就 可 能 触动 防火 墙 关闭 服务 器 ,从 而 导致 拒绝 服务 ,这 也 是 互动 系统 需 
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要 考虑 的 问题 。 可 以 建立 新 的 检测 模型 ,使 不 同 的 IDS 产品 可 以 协同 工作 。 
725 入 侵 防 御 系 统 IPS 


1. IPS 和 IDS 的 关系 


IPS 到 底 是 什么 ?“IPS 可 以 阻 断 攻 击 , 这 正 是 IDS 所 做 不 到 的 ,所 以 IPS 是 IDS 的 
升级 ,是 IDS 的 替代 品 ”, 可 能 很 多 人 都 会 有 这 种 看 法 。 

我 们 先 来 看 IPS 的 产生 原因 。 

(1) 串 行 部 署 的 防火 墙 可 以 拦截 低层 攻击 行为 ,但 对 应 用 层 的 深层 攻击 行为 无 能 
为 区 。 

(2) 旁 路 部 署 的 IDS 可 以 及 时 发 现 那些 穿 透 防火 墙 的 深层 攻击 行为 ,作为 防火 墙 的 
有 益 补 充 ,但 很 可 惜 的 是 无 法 实时 地 阻 断 。 

(3) IDS 和 防火 墙 联动 : 通过 IDS 来 发 现 , 通 过 防火 墙 来 阻 断 。 但 由 于 迄今 为 止 没 
有 统一 的 接口 规范 ,加 上 越 来 越 频繁 的 “瞬间 攻击 ”( 一 个 会 话 就 可 以 达到 攻击 效果 ,如 
SQL 注入 溢出 攻击 等 ) ,使 得 IDS 与 防火 墙 联动 在 实际 应 用 中 的 效果 不 显著 。 于 是 就 有 
下 面 的 一 种 想法 ,如 图 7-27 所 示 。 


人 人 万。 |_|ips 39 分 

-| 
IP 

深层 攻击 lew 在 线 部 分 


图 7-27 防火 墙 与 IDS 的 缺陷 引发 IPS 的 产生 


这 就 是 IPS 产品 的 起 源 ,一 种 能 防御 防火 墙 所 不 能 防御 的 深层 入 侵 威胁 (入 侵 检测 
技术 ) 的 在 线 部 署 (防火 墙 方式 ) 安 全 产品 。 

而 为 什么 会 有 这 种 需求 呢 ? 是 由 于 用 户 发 现 了 一 些 无 法 控制 的 入 侵 威胁 行为 ,这 也 
正 是 IDS 的 作用 。 

入 侵 检测 系统 (IDS) 对 那些 异常 的 .可 能 是 入 侵 行为 的 数据 进行 检测 和 报警 ,告知 使 
用 者 网 络 中 的 实时 状况 ,并 提供 相应 的 解决 .处理 方法 ,是 一 种 侧重 于 风险 管理 的 安全 
产品 。 

入 侵 防 御 系 统 (IPS) 对 那些 被 明确 判断 为 攻击 行为 ,会 对 网 络 ,数据 造成 危害 的 恶意 
行为 进行 检测 和 防御 ,降低 或 减免 使 用 者 对 异常 状况 的 处 理 资源 开销 ,是 一 种 侧重 于 风 
险 控 制 的 安全 产品 。 

这 也 解释 了 IDS 和 IPS 的 关系 ,并 非 取代 和 互 斥 , 而 是 相互 协作 。 没 有 部 署 IDS 的 
时 候 , 只 能 是 凭 感觉 判断 ,应 该 在 什么 地 方 部 署 什么 样 的 安全 产品 ,通过 IDS 的 广泛 部 
署 ,了 解 了 网 络 的 当前 实时 状况 , 据 此 状况 可 进一步 判断 应 该 在 何 处 部 署 何 类 安全 产品 
(PS 等 ij 
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2. IPS 的 性 能 


IPS 应 该 看 重 哪些 方面 的 功能 ?” 有些 人 认为 :“IPS 应 该 具备 各 种 扩展 功能 ,ACL、 
路 由 NAT 一 个 都 不 能 少 ”".“IPS 最 重要 的 就 是 性 能 了 ,其 他 的 都 不 重要 ”。 

入 侵 防 御 系 统 作为 串 接 部 署 的 设备 .确保 用 户 业 务 不 受 影响 是 一 个 重点 ,错误 的 阻 
断 必定 意味 着 影响 正常 业务 ,在 错误 阻 断 的 情况 下 ,各 种 所 谓 扩展 功能 、 高 性 能 都 是 一 句 
空话 。IPS 设备 所 应 该 关心 的 重点 是 精确 阻 断 , 即 精确 判断 各 种 深层 的 攻击 行为 ,并 实现 
实时 的 阻 断 。 

精确 阻 断 解决 了 自 IPS 概念 出 现 以 来 用 户 和 厂商 的 最 大 困惑 : 如 何 确保 IPS 无 误 报 

滥 报 ,使 得 串 接 设备 不 会 形成 新 的 网 络 故障 点 ? 

而 作为 一 款 防御 入 侵 攻 击 的 设备 ,防御 各 种 深层 入 侵 行为 是 第 二 个 重点 。 这 也 是 
IPS 系统 区 别 于 其 他 安全 产品 的 本 质 特点 。 同 时 也 将 精确 阻 断 定义 成 保障 深层 防御 情况 
下 的 精确 阻 断 , 即 在 确保 精确 阻 断 的 基础 上 ,尽量 多 地 发 现 攻击 行为 (如 SQL 注入 攻击 、 
缓冲 区 溢出 攻击 、 恶 意 代 码 攻击 、 后 门 .木马 .间谍 软件 ) ,这 才 是 IPS 发 展 的 主线 功能 。 

如 何 确 保 对 深层 入 侵 行为 的 准确 判断 ? 依托 多 年 以 来 在 入 侵 检 测 技术 方面 的 深厚 
积累 ,一 些 人 侵 防御 系统 独创 性 地 建立 了 和 柔性 化 检测 机 制 ,在 确保 精确 判定 攻击 行为 的 
基础 上 ,涵盖 了 各 种 攻击 手法 类 型 。 

常用 的 攻击 检测 方法 有 两 种 ,一 种 方法 是 通过 定义 攻击 行为 的 数据 特征 来 实现 对 已 
知 攻击 的 检测 ,其 优势 是 技术 上 实现 简单 .易于 扩充 、 可 迅速 实现 对 特定 新 攻击 的 检测 和 
拦截 。 但 仅 能 识别 已 知 攻击 、 抗 变种 能 力 弱 。 另 一 种 方法 是 通过 分 析 攻 击 产生 原理 , 定 
义 攻击 类 型 的 统一 特征 ,能 准确 识别 基于 相同 原理 的 各 种 攻击 .不 受 攻击 变种 的 影响 ,但 
技术 门槛 高 .扩充 复杂 应 对 新 攻击 速度 有 限 。 两 种 检测 机 制 如 图 7-28 所 示 。 


一 一 


优势 | 优势 
一 简单 、 扩 充 迅速 ， 对 各 类 新 攻击 ! 一 能 识别 同 原理 的 未 知 攻击 
的 应 变速 度 更 快 | 一 不 受 变形 攻击 的 影响 

劣势 ! “一 检测 面 广 ， 每 个 原理 应 对 攻击 数 多 
| 一 能 精确 识别 特征 不 唯一 的 攻击 
1 

1 

1 

1 

1 

1 

1 


。 劣 势 
一 由 于 技术 门槛 高 、 扩 充 复杂 、 应 对 
不 下 渤 度 有 限 


一 动 攻击 特征 不 唯一 ， 不 易 精确 识别 


人 

1 

| 

| 

1 ”一 仅 能 识别 已 知 的 攻击 
| 

1 

| 一 抗 变种 能 力 弱 

1 寺 点 

1 


| 
1 
1 
一 检测 面 窗 ， 每 个 特征 应 对 的 攻击 数 少 | 
1 
1 
1 
1 
1 


动态 的 检测 以 变 应 变 静态 的 检测 以 不 变 应 万 变 
精确 阻 断 不 全 面 精确 阻 断 扩 充 复杂 


7-28 基于 特征 和 原理 的 检测 机 制 对 比 
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融合 “基于 特征 的 检测 机 制 " 和 “基于 原理 的 检测 机 制 ” 形 成 的 “柔性 检测 ”机 制 , 它 最 
大 的 特点 就 是 基于 原理 的 检测 方法 与 基于 特征 的 检测 方法 并 存 , 有 机 组 合 了 两 种 检测 方 
法 的 优势 。 这 种 融合 不 仅 是 一 个 两 种 检测 方法 的 大 融合 ,而 且 细 分 到 对 攻击 检测 防御 的 
每 一 个 过 程 中 ,在 抗 躲避 处 理 、 协 议 分 析 、 攻 击 识别 等 过 程 中 都 包含 了 动态 与 静态 检测 的 
融合 ,如 图 7-29 所 示 。 


抗 躲避 处 理 协议 分 析 攻击 识别 
On Ce RE 全 
| 由 11 [会 话 内 会 话 则 “| 
| 妥 川 \_ 无 乡 关 联 分 析 “月 

1 1 1 

静态 ”“![。 报 文 重组 。 | 1 非 标 准 端口 的 ] 【1 基于 漏洞 被 利用 | 
以 不 变 应 万 变 | 【攻击 还 原 处 理 1 协议 自 识别 1 【的 原理 识别 攻击 
| Ll 上 [sQL 注 入 攻击 原理 ]| 

| 1 | | 的 识别 算法 ] 

+ + + 1 

| 向 人 

| 则 1 (攻击 /行为 特征 库 )| 

动态 | 11 基于 端口 识别 】 1 三村 件 竺 全 自 定 X] 1 
以 变 应 变 “! (拟态 编码 识别 11 - 人 一作 
| 中 | 非 标准 协议 | Il ( 病毒 特征 库 。 肖 

| 则 伺服 器 一 和 纪 

| 1 (环境 指纹 库 月 
cq 人 人 一 7 


图 7-29 柔性 检测 机 制 原 理 


通过 运用 柔性 检测 机 制 , 一 些 人 侵 防 御 系 统 进一步 增强 了 设备 的 抗 躲 避 能 力 、 精 确 
阻 断 能 力 ,变形 攻击 识别 能 力 和 对 新 攻击 应 变 能 力 , 提 高 了 精确 检测 的 覆盖 面 。 

当然 ,前面 提 到 的 扩展 功能 和 高 性 能 ,也 是 入 侵 防御 系统 所 必须 关注 的 内 容 , 但 也 要 
符合 产品 的 主线 功能 发 展 趋势 ,如 针对 P2P 的 限制 。P2P 作为 一 种 新 兴 的 下 载 手段 ,得 
到 了 极为 广泛 的 运用 ,但 由 于 无 限制 的 P2P 应 用 会 影响 网 络 的 带宽 消耗 ,并 且 还 会 带 来 
知识 产权 病毒 等 多 种 相关 问题 。 而 实现 对 P2P 的 控制 和 限制 ,需要 较为 深入 的 应 用 层 
分 析 , 交 给 IPS 来 限制 .防范 ,是 一 个 比较 恰当 的 选择 。 而 ACL 控制 .路 由 .NAT 等 ,这 
些 都 是 防火 墙 可 以 完成 的 工作 ,在 IPS 上 来 实现 这 些 功 能 ,就 有 画蛇添足 之 嫌 了 。 

性 能 表现 是 IPS 的 又 一 重要 指标 ,但 这 里 的 性 能 应 该 是 更 广泛 含义 上 的 性 能 ,包括 
了 最 大 的 参数 表现 和 异常 状况 下 的 稳定 保障 。 也 就 是 说 ,性 能 除了 需要 关注 诸如 “吞吐 
率 多 大 ?”“ 转 发 时 延 多 长 ?”“ 一 定 背 景 流下 检测 率 如 何 ?” 等 性 能 参数 表现 外 ,还 需要 关 
注 “ 如 果 出 现 了 意外 情况 ,怎样 /多 快 能 恢复 网 络 的 正常 通信 ?”, 这 个 问题 也 是 IPS 出 现 
之 初 被 质疑 的 一 个 重点 。 串 接 设备 出 现 故障 和 旁 路 设备 不 一 样 ,是 会 影响 到 正常 业务 运 
营 的 ,而 做 深层 分 析 的 串 接 设备 更 加 如 此 ,在 长 时 间 做 大 量 数据 深度 分 析 的 情况 下 ,如何 
确保 通信 的 顺畅 ?如 何 确保 出 现 异常 情况 后 通信 的 顺畅 ? 
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726 IDS 与 IPS 的 部 署 


从 产品 价值 角度 讲 ,IDS 注重 的 是 网 络 安全 状况 的 监管 。 用 户 进行 网 络 安全 建设 之 
前 ,通常 要 考虑 信息 系统 面临 哪些 威胁 ,威胁 的 来 源 以 及 进入 信息 系统 的 途径 ,信息 系统 
对 这 些 威 胁 的 抵御 能 力 等 方面 的 信息 。 在 信息 系统 建设 中 和 实施 后 也 要 不 断 地 观察 信 
息 系统 中 的 安全 状况 ,从 而 有 的 放 矢 地 进行 系统 建设 ,根据 安全 状况 及 时 调整 安全 策略 ， 
减少 信息 系统 被 破坏 的 可 能 。 

IPS 关注 的 是 对 入侵 行为 的 控制 。 当 用 户 明确 信息 系统 安全 建设 方案 和 策略 之 后 ， 
可 以 在 IPS 中 实施 边界 防护 安全 策略 。 与 防火 墙 类 产品 可 以 实施 的 安全 策略 不 同 ,IPS 
可 以 实施 深层 防御 安全 策略 , 即 可 以 在 应 用 层 检 测 出 攻击 并 予以 阻 断 , 这 是 防火 墙 所 做 
不 到 的 ,当然 也 是 IDS 所 做 不 到 的 。 

从 产品 应 用 角度 来 讲 ,为 了 达到 可 以 全 面 检测 网 络 安全 状况 的 目的 ,IDS 需要 部 署 在 
网 络 内 部 的 中 心 点 ,需要 观察 到 所 有 网 络 数据 。 如 果 信 息 系 统 中 包含 了 多 个 逻辑 隔离 的 
子 网 , 则 需要 在 整个 信息 系统 中 实施 分 布 部 署 .以 达到 掌控 整个 信息 系统 安全 状况 的 
目的 。 

传统 的 IDS 只 能 采用 旁 路 方式 检测 网 络 攻击 ,不 能 实时 阻 断 。 当 IDS 检测 到 攻击 
时 ,入侵 者 的 恶意 企图 往往 已 经 得 偿 , 系 统 或 数据 可 能 已 被 黑客 控制 或 破坏 ,同时 由 于 
IDS 处 于 旁 路 位 置 ,检测 的 全 面 性 和 准确 性 也 受到 很 大 的 影响 。 

而 为 了 实现 对 外 部 攻击 的 防御 ,IPS 需要 部 署 在 网 络 的 边界 ,如 部 署 在 网 关 位 置 , 利 
用 攻击 的 知识 对 网 络 数据 和 行为 进行 深层 检查 ,从 而 更 有 效 地 抵御 应 用 层 攻 击 。 所 有 来 
自 外 部 的 数据 必须 串 行 通过 IPS,IPS 通过 实时 分 析 网 络 数据 ,发 现 攻 击 行为 立即 予以 阻 
断 , 保 证 来 自 外 部 的 攻击 数据 不 能 通过 网 络 边界 进入 网 络 。 

IPS 在 线 的 部 署 模 式 使 它 可 以 直接 将 有 害 的 流量 (探测 、 攻 击 等 ) 阻 挡 于 所 保护 的 网 
络 之 外 。IPS 可 以 部 署 在 防火 墙 之 后 ,保护 关键 服务 器 并 保证 对 外 开放 服务 的 安全 (如 
Web SMTP DNS 等 )。FW 十 IPS 的 部 署 模式 充分 发 挥 出 FW 和 IPS 各 自 的 技术 优势 ， 
并 充分 保护 已 有 的 安全 投资 。 

明确 了 这 些 区 别 , 就 可 以 比较 理性 地 进行 产品 类 型 选择 。 

车 计划 在 一 次 项 目 中 实施 较为 完整 的 安全 解决 方案 , 则 应 同时 选择 和 部 署 IDS 和 
IPS 两 类 产品 。 在 全 网 部 署 IDS, 在 网 络 的 边界 点 部 署 IPS。 若 用 户 计 划分 布 实施 安全 解 
决 方案 ,可 以 考虑 先 部 署 IDS 进行 网 络 安全 状况 监控 ,后 期 再 部 署 IPS。 若 用 户 仅 仅 关注 
网 络 安全 状况 的 监控 (如 金融 监管 部 门 . 电 信 监 管 部 门 等 ) .只 需 在 目标 信息 系统 中 部 署 
IDS 即 可 。 图 7-30 是 利用 IDS 和 IPS 联合 部 署 用 于 防范 DDoS 的 结构 图 。 

合理 地 选择 产品 类 型 之 后 ,下 一 个 问题 就 是 选择 什么 样 的 IDS 或 IPS 才 是 最 有 效 
的 ? 任何 产品 的 开发 应 该 围绕 着 核心 产品 价值 展开 ,产品 的 各 种 能 力 都 应 该 为 核心 产品 
价值 服务 。 因 此 IDS 必须 能 够 全 面 检测 网 络 中 各 类 安全 事件 ,也 就 是 说 检测 的 全 面 性 是 
衡量 IDS 产品 优 劣 的 主要 标准 。 而 IPS 必须 能 精确 阻 断 关 键 网 络 威胁 ,对 关键 网 络 威胁 
的 防御 能 力 以 及 防御 的 准确 性 是 衡量 IPS 产品 优 劣 的 主要 标准 。 
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图 7-30 ”1PS 用 于 抵御 DDoS 的 系统 防御 部 署 


73 身份 认 汪 


目前 很 多 用 户 由 于 业务 扩展 ,需要 雇员 能 够 在 远程 登录 到 内 部 网 络 并 对 网 络 资源 进 
行 访问 。 但 是 ,无 论 这 些 雇员 是 以 拨号 方式 连接 、Telnet 方式 连接 ,还 是 VPN 方式 连接 ， 
都 涉及 到 一 个 不 可 回避 的 问题 ,就 是 如 何 对 这 些 远程 访问 人 员 的 身份 进行 认证 ,让 他 们 
能 够 有 权限 访问 相应 的 资源 。 在 目前 网 络 安 全 环境 下 ,不 可 能 使 用 简单 的 账号 和 密码 的 
方式 ,因为 这 涉及 到 防火 墙 . 路 由 器 的 配置 等 许多 问题 。 那 么 如 何 解 决 这 类 问题 呢 ? 可 
以 在 用 户 内 部 网 设置 一 个 服务 器 来 分 配 证 书 , 当 访问 某 个 资源 时 ,要 先 对 证 书 进行 认证 ， 
再 去 访问 资源 。 这 个 过 程 在 网 络 安全 中 就 称 为 身份 认证 技术 。 

身份 认证 是 网 络 安全 中 的 一 个 重要 环节 。 在 没有 计算 机 的 时 代 , 身 份 认证 可 以 通过 
眼睛 的 识别 .接头 暗号 或 者 双方 约定 的 方法 进行 。 而 在 计算 机 时 代 , 特 别 是 计算 机 网 络 
时 代 , 人 们 很 多 交互 都 是 通过 计算 机 联网 进行 。 这 时 ,传统 的 人 与 人 的 交互 分 成 了 三 个 
阶段 : 人 与 计算 机 交互 .计算 机 与 计算 机 交互 以 及 计算 机 与 人 交互 。 在 这 些 交互 环节 中 
的 任何 一 个 环节 出 现 问题 , 则 就 会 破坏 人 与 人 之 间 通 过 计算 机 网 络 的 身份 认证 。 

如 图 7-31 所 示 , 人 与 计算 机 之 间 的 身份 认证 通常 称 为 用 户 身份 认证 ,传统 上 属于 计 
算 机 安全 研究 的 领域 。 而 计算 机 与 计算 机 之 间 通 过 网 络 进行 身份 认证 通常 称 为 报 文身 
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份 认 证 ,传统 上 属于 网 络 安全 研究 的 领域 。 但 是 ,目前 一 些 研究 者 也 从 计算 机 网 络 环境 
下 端 到 端的 身份 认证 角度 研究 用 户 身份 认证 的 技术 ,同样 ,也 可 以 从 网 络 环境 的 端 到 端 
用 户 身份 认证 角度 讨论 报 文身 份 认证 技术 。 所 以 ,本 节 将 在 身份 认证 技术 的 应 用 中 , 具 
体 讨论 在 网 络 环境 下 完整 的 用 户 身份 验 评 过 程 。 


| 二 | | 
| | 网 络 安全 | - 
用 户 A be 用 户 B 
计算 机 安全 


7-31 计算 机 网 络 环境 下 人 与 人 的 身份 认证 


731 身份 认证 的 基本 概念 


身份 认证 是 网 络 安全 系统 中 的 第 一 个 环节 ,也 是 最 重要 的 一 个 环节 。 没 有 身份 认 
证 ,或 者 身份 认证 失效 ,也 就 无 法 在 网 络 安全 系统 中 进行 访问 控制 和 攻击 检测 。 


1. TCP/IP 体系 身份 认证 的 缺陷 


当前 基于 IP 协议 簇 的 Internet 技术 缺乏 安全 性 ,主要 理由 是 这 类 Internet 技术 并 没 
有 设置 有 效 的 身份 认证 能 力 。 为 了 说 明 为 什么 基于 IP 协议 簇 的 Internet 技术 缺乏 安全 
性 ,首先 需要 定义 “身份 认证 ”的 概念 。 在 网 络 安全 环境 下 ,“ 身 份 认 证 "是 指 对 所 有 网 络 
实体 的 标识 和 认证 功能 。 而 现在 基于 IP 协议 簇 的 Internet 仅仅 定义 了 网 络 实体 的 标识 
功能 ,没有 定义 网 络 实体 的 认证 功能 。 现 在 的 网 络 系统 都 是 采用 分 层 体系 结构 ,目前 实 
用 的 网 络 系统 至 少 可 以 分 成 物理 层 数据 链 路 层 、 网 络 层 \ 传 输 层 和 应 用 层 。 这 五 个 层次 
的 网 络 实体 可 以 通过 三 类 地 址 标识 。 

(1) 媒体 访问 控制 (英文 缩写 为 MAC) 地 址 ,也 就 是 网 卡 地 址 (俗称 物理 地 址 ) ,标识 
了 物理 层 和 数据 链 路 层 实体 ,这 是 因为 目前 每 个 数据 链 路 层 实体 都 是 对 应 一 个 媒体 访问 
控制 子 层 实体 ,每 个 媒体 访问 控制 子 层 实体 只 对 应 一 个 物理 层 实体 。 

(2) 网 络 层 地 址 ,也 就 是 IP 地 址 ,标识 了 网 络 层 实体 。 这 是 Internet 进行 路 由 选择 
和 报 文 转发 的 重要 标识 。 

(3) 传送 层 和 应 用 层 地 址 ,也 就 是 IP 地 址 十 传送 层 端口 号 ,标识 了 传送 层 实体 。 因 
为 每 个 传送 层 实体 唯一 对 应 一 个 应 用 层 实体 ,所 以 该 标识 也 唯一 标识 了 一 个 应 用 层 
实体 。 

但 是 ,这 些 网 络 实体 的 标识 都 是 在 一 定 范围 内 可 以 随意 设置 的 标识 。 例 如 ,可 以 通 
过 网 卡 相 应 的 软件 ,重新 设置 MAC 地 址 ;可 以 在 同一 个 子 网 范围 内 ,重新 设置 IP 地 址 ; 
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既然 可 以 重新 设置 IP 地 址 ,也 就 可 以 在 不 改变 传送 层 端口 号 的 情况 下 ,重新 设置 传送 层 
地 址 。 之 所 以 能 够 重新 设置 这 些 网 络 实体 的 标识 ,是 因为 这 些 网 络 实体 标识 都 没有 身份 
认证 的 能 力 , 没 有 一 种 将 每 个 网 络 实体 的 标识 与 该 网 络 实体 特征 绑 定 的 身份 认证 机 制 。 
这 种 简化 的 网 络 实体 标识 方法 ,虽然 可 以 使 网 络 互 连 、 互 通 和 互 操作 易于 实现 ,但 是 使 得 
在 现 有 的 IP Internet 环境 下 无 法 有 效 地 实施 网 络 安全 控制 。 

本 节 主 要 介绍 网 络 环境 下 进行 身份 认证 的 原理 和 方法 ,再 详细 讨论 现 有 的 IP 
Internet 是 如 何 通过 安全 IP 协议 增加 网 络 身 份 认 证 的 机 制 。 


2. 身份 认证 的 发 展 历史 


网 络 安全 中 采用 的 身份 认证 原理 和 方法 来 源 于 通信 安全 系统 和 计算 机 安全 系统 的 
身份 认证 技术 。 通 信安 全 系统 中 的 身份 认证 技术 主要 采用 的 是 “安全 身份 认证 协议 ” 实 
现 的 一 种 技术 。 这 是 通过 “质问 一 应 答 " 交 互 过 程 实现 身份 认证 的 技术 ,类 似 于 黑夜 里 的 
哨兵 在 看 不 清楚 来 人 的 情况 下 ,通过 询问 “密码 "识别 来 人 的 身份 。 

传统 计算 机 安全 中 的 身份 认证 技术 主要 是 指 多 用 户 计算 机 系统 中 用 户 登 录 的 密码 
系统 。 在 多 用 户 计 算 机 系统 中 ,每 个 用 户 都 设置 了 一 个 账户 ,每 个 用 户 用 自己 账户 登录 
到 计算 机 系统 时 ,必须 输入 与 该 账户 匹配 的 密码 。 这 里 的 账户 就 是 用 户 的 标识 ,而 与 用 
户 账户 匹配 的 密码 ,就 是 一 种 对 用 户 身 份 的 认证 机 制 。 

传统 多 用 户 计算 机 系统 ,曾经 将 用 户 的 密码 直接 保存 在 计算 机 系统 中 ,每 次 用 户 登 
录 时 ,验证 用 户 输入 的 密码 是 否 与 该 用 户 账户 存储 的 密码 匹配 。 这 种 用 户 密码 系统 实际 
上 是 不 安全 的 ,如 果 攻 击 者 获得 存放 用 户 密码 的 文件 , 则 可 以 攻破 整个 系统 。 另 外 ,系统 
管理 员 也 可 以 访问 用 户 密码 文件 ,使 得 这 种 身份 认证 成 为 不 可 信 的 身份 认证 。 

现在 多 用 户 计算 机 系统 都 不 再 直接 存放 用 户 密码 ,而 是 存放 通过 某 个 单 向 函数 三 对 
用 户 密码 PW 的 计算 值 AKCPW)。 这 里 的 * 单 向 函数 表示 在 现 有 的 计算 条 件 下 ,无 法 从 / 
(PW) 反 推 得 出 PW 的 函数 。 这 样 , 即 使 网 络 攻击 者 获得 用 户 密码 文件 ,或 者 系统 管理 员 
访问 用 户 密 码 文件 ,也 无 法 获取 用 户 的 密码 。 而 用 户 登 录 系 统 时 ,计算 机 系统 不 再 直接 
比较 密码 ,而 是 先 将 用 户 密码 经 过 单 向 函数 计算 后 ,再 与 计算 结果 与 给 用 户 账户 存放 的 
密码 函数 值 比较 。 如 果 匹 配 , 则 用 户 顺 利通 过 身份 认证 ,可 以 登录 到 计算 机 系统 中 。 这 
种 安全 的 计算 机 系统 密码 系统 也 被 应 用 到 网 络 安全 中 。 


3. 身份 认证 的 分 类 己 
mm 


计算 机 网 络 技术 是 通信 技术 与 计算 机 技 [Wy 
术 结 合 的 技术 ,同样 网 络 安全 系统 中 的 身份 认 组 


证 技术 也 是 通信 系统 身份 认证 技术 与 计算 机 客户 机 A 服务 器 B 
系统 身份 认证 技术 结合 的 技术 。 | - -| 
如 图 7-32 所 示 , 这 是 与 图 7-31 类 似 的 一 ”用 A 网 络 安全 
种 结构 。 只 是 这 是 使 用 网 络 服务 的 一 种 结构 。 . 
计算 机 安全 


在 网 络 环境 下 , 人 们 都 需要 通过 某 个 计算 机 | 
( 即 客户 机 A) 连 接 上 网 ,然后 通过 网 络 与 远程 a 
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一 台 提 供 网 络 服务 的 计算 机 ( 即 服务 器 B) 交 互 。 远 程 提供 网 络 服务 的 计算 机 就 是 一 台 网 
络 服务 器 , 它 可 以 同时 支持 多 个 用 户 的 访问 。 网 络 服务 器 也 相当 于 传统 的 多 用 户 计算 机 
系统 。 对 于 配置 了 安全 控制 功能 的 网 络 服务 器 ,就 需要 使 用 多 用 户 计 算 机 系统 中 身份 认 
证 技术 , 即 每 个 用 户 都 需要 设置 账户 和 密码 ,登录 到 网 络 服务 器 中 才能 使 用 网 络 服务 。 

为 了 保证 在 客户 机 A 和 服务 器 B 之 间 传 递 的 报 文 不 会 被 第 三 方 攻击 ,A 和 了 B 之 间 就 
需要 进行 身份 认证 ,A 需要 确定 B 就 是 真实 的 服务 器 ,而 B 需要 确定 A 就 是 真实 的 客户 
机 。 这 样 , 就 需要 利用 通信 安全 系统 中 的 安全 身份 认证 协议 。 

基于 以 上 网 络 环境 中 身份 认证 的 特征 ,网 络 安全 中 的 身份 认证 技术 可 以 分 成 "人 机 
交互 类 ”身份 认证 技术 和 *“ 报 文 传递 类 ”身份 认证 技术 。 

1) 人 机 交互 类 身份 认证 技术 

人 机 交互 类 身份 认证 技术 是 一 种 标识 和 认证 网 络 服务 使 用 者 身份 的 技术 , 它 是 计算 
机 安全 系统 的 身份 认证 技术 在 网 络 环境 下 的 具体 应 用 。 这 类 身份 认证 技术 主要 用 于 需 
要 人 参与 的 网 络 服务 ,例如 电子 邮件 服务 ,文件 传递 服务 以 及 WWW 信息 访问 服务 等 。 

网 络 安全 系统 中 人 机 交互 类 身份 认证 技术 ,已 经 不 再 局 限于 传统 计算 机 安全 范畴 中 
的 人 机 之 间 的 身份 认证 ,而 是 扩展 到 通过 网 络 实现 人 与 人 之 间 的 身份 认证 。 正 如 图 7-32 
所 示 , 人 机 交互 类 身份 认证 技术 只 是 网 络 环境 下 身份 认证 技术 的 一 个 环节 , 它 必 须 与 报 
文 传递 类 身份 认证 技术 结合 ,才能 构成 跨越 计算 机 网 络 的 人 与 人 之 间 的 身份 认证 。 从 这 
个 意义 上 看 ,人 机 交互 类 身份 认证 必须 依赖 于 报 文 传递 类 身份 认证 。 

2) 报 文 传递 类 身份 认证 技术 

报 文 传递 类 身份 认证 技术 是 一 种 标识 和 认证 网 络 中 传递 的 报 文身 份 的 技术 , 它 是 通 
信安 全 系统 的 身份 认证 技术 在 网 络 环境 下 的 具体 应 用 。 这 类 身份 认证 技术 主要 用 于 不 
需要 人 直接 参与 的 网 络 报 文 的 传递 服务 ,例如 网 络 层 安 全 控制 技术 ;安全 IP 协议 以 及 传 
送 层 的 安全 控制 技术 ;安全 套 接 层 (SSL) 和 传送 层 安 全 (TLS) 协 议 。 

表面 上 , 报 文 传递 类 身份 认证 技术 仅仅 涉及 到 网 络 系统 中 计算 机 之 间 的 交互 。 实 际 
上 , 报 文 传递 类 身份 认证 建立 的 对 报 文 发 送 方 和 接收 方 的 信任 ,也 是 需要 通过 使 用 这 些 
计算 机 的 用 户 进行 确认 。 所 以 , 报 文 传递 类 身份 认证 技术 需要 依靠 人 机 交互 类 身份 认证 
技术 ,建立 网 络 用 户 对 报 文 传递 的 信任 。 

网 络 环境 中 真正 完整 的 身份 认证 机 制 是 包括 了 人 机 交互 类 身份 认证 技术 和 报 文 传 
递 类 身份 认证 技术 的 身份 认证 技术 ,下 面 介绍 的 Kerberos 身份 认证 体系 是 一 个 典型 的 
实例 。 


4. 身份 认证 的 方式 


在 网 络 安全 中 ,根据 身份 认证 参与 方 的 数目 ,身份 认证 可 以 分 成 双方 身份 认证 方式 
和 三 方 身份 认证 方式 。 
双方 身份 认证 方式 是 指 在 身份 认证 过 程 中 ,只 需要 涉及 身份 认证 方 和 被 认证 方 两 个 
身份 验证 协议 _「 5 二 六 | 网 络 实体 。 双 方 通过 交互 身份 认证 协议 , 单 向 或 者 
双向 认证 身份 ,如 图 7-33 所 示 。 单 向 身份 认证 指 
国 739 双方 身份 外 古方 式 只 有 身份 认证 方 认证 对 方 的 身份 ,双向 身份 认证 指 


被 验证 方 
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身份 认证 方 和 被 认证 方 相互 进行 身份 认证 。 

在 人 机 交互 类 身份 认证 技术 中 ,如 果 用 户 客 户 端 软件 需要 与 服务 器 端 软件 进行 交 
互 ,完成 身份 认证 的 过 程 , 则 就 是 双方 身份 认证 方式 。 如 果 用 户 客 户 端 软件 为 了 登录 到 
服务 器 B 中 ,还 需要 专门 与 另外 一 个 身份 认证 服务 器 C 交互 , 则 就 不 是 双方 身份 认证 
方式 。 

双方 身份 认证 方式 适用 于 身份 认证 双方 处 于 同一 个 信任 域 的 应 用 环境 , 即 身份 认证 
双方 的 行为 不 需要 提交 给 第 三 方 进行 认证 ,不 需要 相互 防范 。 所 以 ,这 种 双方 身份 认证 
方式 实际 上 不 适用 于 电子 商务 环境 。 在 这 种 身份 认证 方式 下 完成 的 身份 认证 ,一 旦 出 现 
商业 交易 纠纷 ,无 法 提交 给 第 三 方 进行 仲裁 。 RE 


三 方 身份 认证 方式 是 指 身份 认证 过 程 中 ,需要 
涉及 到 三 个 网 络 实体 ,其 中 包括 身份 认证 的 双方 以 
及 参与 身份 认证 的 双方 都 信任 的 第 三 方 ,如 图 7-34 身份 验证 协议 


所 示 。 在 三 方 身份 认证 方式 中 ,身份 认证 的 交互 双 
方 需要 通过 作为 公证 方 的 第 三 方 ,才能 相互 认证 图 7-34 三 方 奥 众 认证 方式 
身份 。 

在 报 文 传递 类 身份 认证 技术 中 一 种 特殊 的 报 文 认证 技术 是 数字 签名 技术 , 它 就 是 采 
用 三 方 身份 认证 的 方式 。 报 文 发 送 方 采 用 第 三 方 发 布 的 私 钥 加 密 报 文摘 要 ,而 报 文 接收 
方 采用 第 三 方 发 布 的 公 钥 解密 报 文摘 要 。 一 旦 出 现 双方 争执 ,接收 方 可 以 将 接收 的 报 文 
提交 给 第 三 方 进行 认证 ,确定 是 否 发 送 方 发 送 的 报 文 。 

像 * 数 字 签 名 "这 类 三 方 身份 认证 方式 已 经 广泛 应 用 于 电子 商务 领域 ,这 种 身份 认证 
方式 不 需要 双方 彼此 信任 ,只 需要 双方 具有 共同 信任 的 第 三 方 。 


5. AAA 认证 体系 


上 述 的 身份 认证 技术 ,只 解决 了 一 个 用 户 身份 的 确认 问题 ,并 没有 将 用 户 的 身份 与 
它 能 够 访问 的 资源 以 及 用 户 在 获得 身份 确认 后 在 网 络 上 的 操作 活动 联系 起 来 ,这 对 于 当 
今 网 络 应 用 的 安全 保证 是 远 远 不 够 的 。 因 此 ,目前 网 络 安全 中 建议 采用 认证 、 授 权 和 记 
账 系统 ,也 被 称 为 AAA 系统 。 

51) 认证 ,也 称 为 身份 验证 ,是 指 在 做 任何 操作 之 前 必须 要 识别 操作 者 的 真实 身份 ， 
也 就 是 “他 是 谁 ”"。 认 证 是 一 个 过 程 , 需 要 对 用 户 提 供 的 用 户 名 和 密码 进行 确认 ,只 有 在 
得 到 确认 后 ,用 户 才能 对 网 络 服 务 器 或 硬件 设备 进行 访问 。 

(2) 授权 是 指 操作 者 到 底 有 什么 权限 去 进行 操作 ,也 就 是 “他 能 够 做 什么 ”。 它 是 系 
统 对 用 户 定 义 的 一 种 或 多 种 安全 策略 的 集合 。 这 些 策略 可 以 定义 到 一 个 服务 器 上 ,对 具 
有 相应 安全 策略 的 用 户 进行 授权 ,也 可 以 定义 到 某 个 具体 的 设备 上 ,对 特定 用 户 执 行 安 
全 策略 。 

(3) 记 账 是 指 记录 操作 者 的 所 有 行为 , 即 “ 他 做 了 什么 ”。 通 过 记 账 功能 ,管理 员 能 够 
知道 用 户 具体 的 操作 ,当然 对 人 侵 者 的 检测 也 可 以 通过 记 账 功能 来 实现 ,这 点 在 上 节 “ 入 
侵 检 测 与 防御 系统 ”中 已 经 做 介绍 。 

由 此 可 知 ,AAA 涵盖 了 对 路 由 器 、 交 换 机 、 防 火 墙 和 服务 器 等 硬件 设备 和 软件 的 访 
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问 控制 策略 ,控制 允许 谁 访问 网 络 服务 器 以 及 允许 使 用 何 种 服务 。 作 为 一 个 非常 重要 的 
框架 ,AAA 本 身 并 不 是 协议 ,而 是 由 IETF 组 织 公 布 的 标准 ,各 实现 厂商 都 要 遵循 这 种 标 
准 来 实现 相应 的 访问 协议 。AAA 服务 的 网 络 如 图 7-35 所 示 。 


一 一 一 一 一 一 一 一 -| 


Web 服 务 器 AAA 服务 器 
图 7-35 实用 AAA 服务 的 网 络 示意 图 


AAA 提供 了 访问 控制 的 框架 ,使 得 网 络 管理 员 可 以 通过 策略 访问 所 有 的 网 络 设备 。 
它 具 有 如 下 的 优点 。 

(1) 对 安全 信息 ,特别 是 账号 等 信息 的 集中 控制 。 

(2) 扩展 性 强 ,安全 产品 厂商 可 以 根据 AAA 规范 设计 生产 自己 的 安全 产品 。 

(3) 既 适合 于 网 络 内 部 的 认证 也 适合 于 网 络 接口 的 各 种 认证 。 

(4) 最 大 的 灵活 性 ,可 对 现 有 网 络 实施 AAA 框架 而 无 须 改 造 。 

从 图 7-35 中 可 以 看 出 ,网 络 上 对 路 由 器 和 服务 器 等 网 络 资源 的 访问 ,都 可 以 经 过 
AAA 服务 器 进行 验证 ,而 且 只 允许 那些 被 授权 的 用 户 进行 操作 。 也 可 以 在 网 络 中 配置 
多 个 AAA 服务 器 ,并 让 它们 协同 工作 。 

AAA 最 常 使 用 的 协议 有 Kerberos ,远程 验证 拨 入 用 户 服 务 (remote authentication 
dial-in user service, RADIUS) 和 终端 访问 控制 器 访问 控制 系统 (terminal access 
controller access control system 十 ,TACACS 十 ) 等 。 在 本 节 中 主要 对 AAA 中 的 认证 进 
行 介绍 ,同时 也 会 对 常用 的 协议 进行 讲解 。 


732 身份 认证 的 内 容 


前 面 已 经 提 到 了 ,认证 是 一 个 过 程 , 它 会 将 用 户 身份 与 一 系列 的 认证 证 书 进行 比较 
来 确认 其 正确 性 。 这 种 认证 的 模式 可 以 被 各 种 各 样 的 操作 系统 或 应 用 程序 使 用 。 在 通 
过 认证 以 后 ,发 起 操作 的 主机 或 用 户 可 以 被 授权 来 访问 各 种 资源 或 信息 。 认 证 包括 很 多 
方面 ,下 面 对 常见 的 认证 方式 进行 讲解 。 


1. IP 认证 


这 种 基于 IP 的 认证 ,针对 IP 地 址 或 IP 子 网 信息 ,能 应 用 到 网 络 硬件 设备 上 ,如 路 由 
器 或 防火 墙 , 其 典型 的 应 用 有 如 下 几 种 。 
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(1) 基于 网 络 的 应 用 程序 ,如 Linux 下 的 rcmd. rsh 等 命令 。 

(2) 基于 IP 或 DNS 的 Internet 应 用 程序 ,如 FTP 服务 器 或 Web 服务 器 。 

(3) 像 防火 墙 或 路 由 器 这 样 的 访问 控制 设备 。 

IP 认证 可 以 有 效 地 将 不 符合 规定 的 数据 包 阻止 在 网 络 之 外 ,在 前 面 的 章节 中 讲 到 的 
IPSec 就 是 基于 IP 认证 的 这 种 方式 。IPSec 能 够 对 在 两 个 地 址 或 路 由 器 之 间 传 输 的 数据 
包 进 行 认证 ,如 果 符 合 定义 的 策略 , 则 允许 数据 包 的 传输 ,否则 将 禁止 传输 数据 包 。 但 是 
IP 认证 也 不 是 万 能 的 ,使 用 IP 欺骗 技术 就 可 能 会 通过 IP 认证 。 


2. 基于 账号 的 认证 


基于 账号 的 认证 是 最 简单 的 ,也 是 最 常见 的 一 种 认证 方式 ,大 多 应 用 在 操作 系统 或 
应 用 程序 上 。 它 要 求 用 户 在 登录 操作 系统 或 使 用 应 用 程序 前 ,提供 合法 的 账号 及 密码 ， 
如 图 7-36 所 示 。 


用 户 信息 
ada/775$23 
Tom/66:eir9 


Jerry/8:uyr4 


图 7-36 ”基于 账号 的 认证 示意 图 


从 图 7-36 中 可 以 看 出 ,基于 账号 的 认证 方式 有 如 下 几 个 步骤 。 

(1) 用 户 在 访问 某 台 服务 器 时 需要 提供 自己 的 账号 和 密码 。 

(2) 服务 器 在 接 到 用 户 请 求 后 ,在 自己 的 用 户 信 息 表 或 访问 控制 表 中 查找 有 无 该 用 
户 。 可 有 如 下 三 种 情况 。 

Q@ 如 果 存 在 该 用 户 信息 ,并 且 密 码 也 正确 , 则 接受 这 次 访问 。 

@ 如 果 存 在 该 用 户 信 息 ,但 密码 并 不 正确 , 则 拒绝 访问 。 

@ 如 果 不 存在 该 用 户 信 息 , 则 拒绝 访问 。 

(3) 将 最 终 的 确认 信息 返回 给 用 户 。 

(4) 用 户 收 到 服务 器 的 响应 ,如 果 是 接受 访问 的 话 ,就 能 与 服务 器 之 间 建 立 连 接 并 访 
问 相应 的 资源 。 如 果 是 拒绝 的 话 , 则 不 能 访问 相应 的 服务 器 和 资源 。 

其 实 , 这 种 认证 方式 也 是 最 容易 被 破解 的 一 种 方法 。 如 果 黑 客 成 功 地 将 木马 程序 植 
入 到 目标 主机 ,该 程序 会 对 用 户 的 键盘 操作 或 网 络 上 传输 的 数据 包 进 行 监听 并 获得 相关 
的 信息 。 更 严重 的 情况 下 ,黑客 会 使 用 “暴力 ”(Brute-force) 方 法 强行 破解 。 这 就 要 求 采 
取 必 要 的 措施 来 保护 账号 及 密码 信息 。 

对 信息 内 容 的 保护 ,最 有 效 的 方法 就 是 对 信息 进行 加 密 及 校 验 ,如 图 7-37 所 示 。 

数据 加 密 标准 (data encryption standard,DES) 是 较 常 用 的 一 种 加 密 方法 ,可 以 使 用 
56 位 .64 位 或 128 位 密 钥 进行 加 密 。 密 钥 越 长 ,破解 起 来 就 越 困 难 ,但 处 理 数据 所 用 的 
时 间 也 会 加 长 。 当 然 随 着 计算 机 计算 能 力 的 增强 ,处 理 数据 的 时 间 将 不 会 成 为 问题 。 加 
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使 用 加 密 算法 
对 账号 和 窗 对 用 户 名 和 
加 从 ”加 窗 后 的 用 户 名 和 密码 ， 国富 站 十 客 
一 一 认 信 和 用 户 信息 
上 人 确认 信息 
用 户 ada/775$23 


Tom/66;eir9 
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图 7-37 采用 加 密 传输 的 方式 


密 算法 分 为 对 称 加 密 和 非 对 称 加 密 等 多 种 类 型 ,具体 加 密 方面 的 知识 可 参考 有 关 密 码 学 
方面 的 书籍 。 

从 图 7-37 中 可 以 看 到 ,相对 于 普通 的 账号 认证 ,采用 加 密 传输 的 方式 分 为 两 个 步 又 。 

(1) 在 客户 端 ,用 户 需 要 采用 某 种 加 密 算法 对 账号 及 密码 进行 加 密 。 在 网 络 传 输 的 
是 密 文 ,减少 了 数据 被 窃取 的 概率 。 

(2) 在 服务 器 端 , 接 到 用 户 的 数据 包 以 后 ,首先 要 做 的 就 是 对 数据 包 进 行 解密 ,将 其 
还 原 成 明文 的 形式 。 

这 两 个 步骤 可 以 增强 数据 的 安全 性 。 目 前 许多 操作 系统 及 硬件 设备 都 支持 加 密 的 
算法 。 例 如 Linux/UNIX 系统 采用 56 位 的 DES 算法 来 保存 用 户 账号 及 密码 (账号 及 密 
码 信 息 存 放 在 /etc/passwd 文件 中 .密码 是 以 加 密 的 方式 存储 的 )。 

另 一 种 有 效 的 保护 信息 的 方式 是 校 验 。 常 用 的 算法 是 消息 摘要 (message digest 5， 
MD5) ,该 算法 对 数据 进行 计算 ,得 到 一 个 128 位 的 校 验 和 (check sum) ,如 图 7-38 所 示 。 


采用 与 客户 端 相 同 的 
算法 也 产生 数据 包 的 
使 用 校 验算 法 产生 校 验 和 
数据 包 的 校 验 和 个 
数据 包 民 
号 
用 户 服务 器 


图 7-38 采用 校 验 方式 的 数据 传输 


图 7-38 中 显示 了 如 何 采 用 校 验方 式 传输 数据 , 它 包 含 如 下 步骤 。 

(1) 客户 端 在 传送 数据 包 之 前 , 先 使 用 某 种 校 验算 法 对 数据 包 进 行 校 验 并 生成 校 验 
和 。 当 然 这 个 校 验 和 也 要 作为 数据 包 的 一 部 分 传递 给 服务 器 端 。 

(2) 服务 器 端 在 收 到 数据 包 后 ,采用 与 客户 端 相 同 的 校 验算 法 再 次 进行 校 验 并 生成 
校 验 和 。 

(3) 服务 器 端 将 自己 生成 的 校 验 和 与 数据 包 中 的 校 验 和 进行 比较 。 

Q@ 如果 一 致 ,说 明 数据 包 在 传输 的 过 程 中 没有 受到 破坏 ,接受 该 数据 包 。 

@ 如 果 不 一 致 , 则 说 明 数 据 包 在 传输 的 过 程 中 已 经 受到 破坏 ,将 该 数据 包 丢 弃 并 向 
客户 端 发 出 一 个 通知 。 

当然 ,为 了 保证 数据 在 网 络 传 输 过 程 中 的 高 安全 性 ,数据 加 密 与 校 验 方法 通常 是 一 
起 使 用 的 , 即 先 对 数据 包 加 密 , 再 对 加 密 后 的 数据 包 进行 校 验 。IPSec 协议 就 可 以 使 用 这 
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两 种 方式 的 结合 。 
3. 基于 令 牌 的 认证 


基于 令 牌 的 认证 方式 可 以 应 用 于 防火 墙 .路 由 器 或 应 用 程序 ,证 书 (或 令 牌 ) 既 可 以 
由 硬件 产生 ,也 可 以 由 软件 产生 。 

这 种 认证 方法 可 以 提供 很 多 安全 特性 ,一 旦 用 户 成 功 登录 到 认证 服务 器 ,服务 器 就 
会 为 这 次 访问 请 求 发 布 一 个 令 牌 ,通过 这 个 令 牌 ,用 户 就 可 以 去 访问 资源 。 当 然 ,为 了 提 
高 系统 的 安全 性 ,该 令 牌 可 以 是 有 时 效 性 的 , 例如 说 应 用 服 训 
60 秒 . 超 过 这 个 时 效 , 令 牌 就 不 能 再 使 用 ,除非 再 次 申请 。 全 
因此 , 令 牌 认 证 方式 可 以 看 成 是 具有 双 保 险 的 认证 ,需要 
提供 两 个 重要 的 因素 (Two-Factor) , 即 用 户 的 个 人 标识 号 
(personal identification number, PIN) 和 服务 器 提供 的 处 
理 方式 。 

图 7-39 给 出 了 基于 令 牌 的 认证 方式 的 过 程 ,共有 | 
6 个 步 又 。 ”里 

(1) 客户 端 在 访问 网 络 资源 前 先 访问 认证 服务 器 。 人 

(2) 如 果 认 证 服务 器 有 该 用 户 的 信息 , 则 认证 服务 器 。 图 739 基于 令 牌 的 认证 
会 向 用 户 发 放 令 牌 。 玉芝 过 各 

(3) 客户 端 使 用 此 令 牌 去 访问 相应 的 应 用 服务 器 。 

(4) 应 用 服务 器 在 收 到 用 户 的 请 求 时 并 不 能 确认 该 令 牌 的 有 效 性 ,需要 将 该 用 户 信 
息 及 令 牌 再 转交 给 认证 服务 器 进行 确认 。 

(5) 认证 服务 器 判断 令 牌 的 有 效 性 ,并 将 结果 返还 给 应 用 服务 器 。 

(6) 应 用 服务 器 根据 认证 服务 器 的 确认 结果 来 决定 用 户 的 这 次 访问 是 否 被 允许 。 


4. 基于 特征 的 身份 认证 


基于 特征 的 身份 认证 ,也 就 是 根据 被 认证 者 "是 什么 "确定 其 身份 。 这 种 被 认证 者 的 
“特征 ”通常 是 指 不 可 假冒 的 、 可 以 唯一 标识 被 认证 者 的 特征 。 在 计算 机 安全 中 通常 采用 
人 体 中 不 可 假冒 的 .具有 唯一 性 的 生物 特征 ,例如 指纹 和 眼 虹 ,进行 基于 特征 的 身份 认 


认证 服务 器 ”证 。 这 种 身份 认证 不 需要 用 户 记 忆 数 据 , 也 不 会 丢失 ,是 

客户 端 现 有 的 身份 认证 技术 中 最 为 安全 的 一 种 身份 认证 技术 。 

[J 目 值得 注意 的 , 像 指纹 和 眼 虹 这 类 人 体 生 物 特征 ,利用 高 技 
术 是 可 以 假冒 的 。 


在 人 机 交互 类 身份 认证 技术 中 ,基于 特征 的 身份 认证 

一 机 制 主要 是 指 人 体 眼 虹 认 证 系统 以 及 指纹 认证 系统 。 在 报 

加 文 传递 类 身份 认证 技术 中 ,基于 特征 的 身份 认证 机 制 主要 

本 是 指 基于 * 报 文摘 要 ”的 报 文 认证 码 技术 .“ 报 文摘 要 ”相当 
于 一 个 报 文 的 “指纹 ”, 可 以 唯一 地 标识 一 个 报 文 的 特征 。 

四 7-40 生物 特征 宙 示 过 程 图 7-40 所 示 为 生物 认证 的 过 程 ,该 过 程 包含 如 下 几 
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个 步骤 。 
(1) 用 户 的 生物 特性 ,如 指纹 等 ,存放 在 认证 服务 器 中 。 
(2) 用 户 在 登录 时 将 手指 放 在 指纹 扫描 器 上 。 
(3) 用 户 的 指纹 被 扫描 并 与 认证 服务 器 中 的 信息 进行 比较 。 
(4) 如 果 匹 配 的 话 , 则 用 户 身份 被 验证 ,并 能 够 访问 应 用 服务 器 。 


5. 单 点 登录 


在 有 些 网 络 中 ,为 了 防止 黑客 得 到 管理 员 或 用 户 的 认证 信息 ,通常 会 设置 多 个 认证 
服务 器 。 例 如 ,用 户 要 访问 DNS 服务 器 ,需要 提供 一 个 账号 和 密码 。 如 果 想 访问 
Router, 还 需要 提供 另外 一 个 账号 和 密码 ,即使 这 两 个 账号 是 相同 的 ( 谁 会 愿意 去 记 多 个 
账号 和 密码 呢 ?) 。 

将 所 有 的 访问 账号 设置 成 唯一 的 值 ,在 访问 网 络 服务 器 时 只 需 提供 一 个 账号 和 密 
码 , 这 种 机 制 就 是 单 点 (single sign-on)。 图 7-41 给 出 了 single sign-on 的 工作 原理 ,其 基 
本 思想 如 下 。 


申请 认证 
TAD 
三 
ee a 
同一 个 账号 及 密 间 第 请 认证 


上 
应 用 服务 器 2 
图 7-41 single sign-on 原理 


(1) 用 户 的 账号 存放 在 认证 服务 器 中 ,确保 每 个 用 户 的 账号 是 唯一 的 。 

(2) 当 用 户 访问 应 用 服务 器 1 时 ,该 服务 器 使 用 认证 服务 器 确认 该 用 户 的 访问 权限 。 

(3) 当 用 户 访问 应 用 服务 器 2 时 ,使 用 相同 的 账号 信息 ,该 服务 器 也 向 认证 服务 器 确 
认 用 户 的 访问 权限 。 

单 点 登录 的 机 制 已 经 被 广泛 地 使 用 ,最 著名 的 就 是 微软 公司 的 Passport。 通 过 
Passport ,用 户 提供 一 个 有 效 的 邮件 地 址 ,就 可 以 访问 相关 的 支持 网 站 ,当然 也 包括 MSN 
Messenger 这 样 的 应 用 程序 。 这 些 网 站 或 应 用 程序 都 到 一 个 统一 的 认证 服务 器 上 验证 用 
户 信息 。 


6. 基于 标志 的 身份 认证 


基于 标志 的 身份 认证 ,也 就 是 根据 被 认证 者 “拥有 什么 ”确定 其 身份 。 只 要 被 认证 者 
拥有 具有 “标志 ”意义 的 物品 ,例如 银行 发 行 的 信用 卡 或 者 登录 计算 机 系统 的 智能 卡 等 ， 
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就 可 以 认证 用 户 的 身份 ,利用 信用 卡 账号 进行 消费 或 者 登录 到 智能 卡 指定 的 用 户 账户 
中 。 这 种 身份 认证 不 需要 用 户 记忆 过 多 的 数据 ,但 是 一 旦 这 种 "标志 ?” 物 丢失 ,就 很 容易 
被 他 人 假冒 。 例 如 一 旦 信用 卡 丢 失 , 如 果 不 及 时 挂失 ,自己 信用 卡 账户 中 的 钱 就 会 被 他 
人 盗用 。 

在 人 机 交互 类 身份 认证 技术 中 ,基于 标志 的 身份 认证 机 制 主要 指 采用 身份 识别 卡 的 
计算 机 或 者 网 络 登录 系统 。 这 种 身份 识别 卡 实 际 上 就 是 存放 了 个 人 特有 标志 信息 (例如 
个 人 特有 的 证 书 ) 一 种 存储 介质 ,这 种 介质 可 以 是 个 智能 卡 , 也 可 以 是 直接 接 人 USB 端 
口 的 U 盘 。 

在 报 文 传递 类 身份 认证 技术 ,基于 标志 的 身份 认证 机 制 主 要 指 采用 密 钥 的 报 文 认证 
码 技术 。 

以 上 介绍 了 身份 认证 的 内 容 也 可 以 简称 为 : 所 知 (What you know) ,所 有 (What you 
have) 和 所 是 (What you are)。 由 于 单项 内 容 难 以 保证 身份 认证 的 安全 性 ,通常 采用 多 项 
内 容 组 合 的 方法 进行 身份 认证 以 提供 更 加 安全 的 机 制 。 例 如 ,通过 IP 的 认证 方式 限制 
访问 服务 器 的 客户 端 ,利用 指纹 作为 用 户 的 PIN, 一 旦 通过 就 对 用 户 的 这 次 访问 发 一 个 
时 效 为 2 分 钟 的 令 牌 等 。 或 者 采用 “所 知 ” 加 “所 有 ”进行 身份 认证 , 持 有 身份 标识 卡 的 用 
户 不 仅 需 要 插入 标识 卡 , 还 需要 输入 密码 ,才能 登录 到 计算 机 系统 。 再 如 采用 “所 知 ” 加 
“所 是 ?进行 身份 认证 ,用 户 不 仅 需 要 识别 指纹 ,还 需要 输入 密码 ,才能 登录 到 计算 机 系 
统 。 在 报 文 传递 类 身份 认证 中 也 应 用 了 这 种 多 项 内 容 组 合 的 方法 ,例如 生成 带 有 “保密 
字 ” 的 报 文摘 要 作为 报 文 认证 码 , 这 就 是 采用 了 “所 知 ” 加 “所 是 ”的 身份 认证 方法 。 


733 Kerberos 


Kerberos 协议 是 20 世纪 80 年 代 由 MIT 开发 的 一 种 网 络 认证 协议 。 该 协议 最 初 是 
基于 UNIX 系统 的 ,在 RFC 1510 中 定义 了 其 内 容 。 它 允许 一 台 计 算 机 通过 交换 加 密 消 
息 在 整个 非 安 全 网 络 上 与 男 一 台 计 算 机 互相 证 明 身 份 。 一 旦 身份 得 到 验证 ,Kerberos 协 
议 给 这 两 台 计 算 机 提供 密 钥 ,以 进行 安全 通信 。Kerberos 协议 能 验证 用 户 的 身份 ,并 通 
过 使 用 密 钥 加 密 的 方式 为 用 户 间 的 通信 提供 安全 性 。 


1。Kerberos 的 优点 


Kerberos 是 一 种 非常 实用 的 认证 协议 , 它 有 如 下 的 优点 。 

(1) 服务 器 更 加 高 效 的 验证 。Kerberos 认证 通过 检查 当前 用 户 的 信用 证 书 验 证 客 
户 。 客 户 能 够 一 次 获得 特定 服务 器 的 信用 证 书 , 并 且 在 网 络 登 录 对 话 中 再 次 使 用 它们 。 

(2) 相互 验证 。Kerberos 协议 允许 客户 间 、 客 户 与 服务 器 间或 服务 器 间 相 互 验 证 
身份 。 

(3) 授权 验证 。Kerberos 协议 有 代理 机 制 . 它 允许 服务 A 在 连接 到 其 他 服务 如 服务 
B 时 模拟 服务 B 的 客户 ,以 访问 相应 资源 或 执行 操作 。 

(4) 简化 信任 管理 。Kerberos 协议 使 得 多 域 网 络 不 再 需要 明确 的 点 到 点 的 信任 关 
系 。 每 个 域 都 将 接受 任何 其 他 域 发 出 的 信任 证 书 。 

(5) 协同 工作 能 力 。 


362 Dinass ssn 


2. Kerberos 的 认证 过 程 


Kerberos 是 一 个 三 向 的 处 理 方法 . 它 混合 使 用 密 钥 加 密 和 密码 协议 。 根 据 称 为 密 钥 
分 配 中 心 (key distribution center, KDC) 的 第 三 方 服务 来 验证 计算 机 相互 的 身份 ,并 建立 


休 守 三 一 一 一 二 二 二 二 二 二 一 一 一 一 | 密 钥 ,以 保证 计算 机 间 的 安全 链接 。KDC 由 两 部 分 组 
| 认证 服务 器 目 成 ,一 个 Kerberos 认证 服务 器 和 一 个 证 书 授权 (Ticket- 


| 图 7-42 给 出 了 Kerberos 的 工作 原理 ,用 户 进 行 


人 J Kerberos 认证 需要 6 个 步骤 。 
0 2 (1) 用 户 向 认证 服务 器 发 出 请 求 ,包括 用 户 的 身 
一 。-. 卓 份 .验证 者 名 称 、 票 据 的 有 效 期 限 等 。 


| 
kDC | granting) 服 务 器 。 
| 
1 
1 


名 一 一 站 (2) 认证 服务 器 返回 给 用 户 响 应 ,包括 会 话 密 钥 、 
用 户 应 用 服务 器 指定 的 有 效 时 间 和 证 书 等 。 
图 7-42 ”Kerberos 的 工作 原理 (3) 用 户 向 证 书 授权 服务 器 发 出 访问 应 用 服务 器 


的 申请 。 此 申请 中 包含 会 话 密 钥 和 证 书 。 该 密 钥 会 与 

证 书 一 起 保存 ,以 后 用 户 再 申请 访问 其 他 的 应 用 服务 器 时 不 再 需要 提供 自己 的 账号 和 密 
码 。 但 这 个 密 钥 和 证 书 是 有 时 效 的 。 

(4) 证 书 授权 服务 器 返回 一 个 允许 访问 证 书 , 允 许 用户 对 应 用 服务 器 的 访问 。 

(5) 用 户 向 应 用 服务 器 出 示 自 己 的 允许 访问 证 书 , 并 访问 应 用 服务 器 。 

(6) 在 用 户 的 请 求 下 ,应 用 服务 器 有 时 也 需要 向 用 户 证 明 自 己 的 身份 。 当 然 此 步骤 
是 可 选择 的 。 

在 第 (2) 步 中 ,认证 服务 器 返回 给 用 户 的 响应 信息 是 使 用 用 户 在 认证 服务 器 上 注册 
的 密码 作为 密 钥 来 加 密 的 。 


734 RADUS 


RADIUS 协议 最 初 是 为 拨号 网 络 开发 的 ,其 目的 是 为 拨号 用 户 进行 认证 和 记 账 , 现 
已 被 广泛 地 应 用 于 对 网 络 设备 的 认证 。 

RADIUS 服务 器 具有 对 用 户 账号 信息 的 访问 权限 ,并且 能 够 检查 网 络 访问 身份 验证 
证 书 。 如 果 用 户 的 证 书 是 可 验证 的 ,RADIUS 服务 器 则 会 对 基于 指定 条 件 的 用 户 访问 进 
行 授 权 , 并 将 这 次 网 络 访问 记录 到 记 账 日 志 中 。 使 用 RADIUS 可 以 统一 地 对 用 户 身份 验 
证 ,授权 和 记 账 数据 进行 收集 和 维护 ,并 集中 管理 。 

RADIUS 一 种 基于 询问 /应 答 (challenge/response) 方 式 的 身份 认证 机 制 。 每 次 认证 
时 认证 服务 器 端 都 给 客户 端 发 送 一 个 不 同 的 询问 信息 ,客户 端 程序 收 到 这 个 询问 信息 
后 ,做 出 相应 的 应 答 。 


1. RADIUS 的 特点 


RADIUS 的 特点 如 下 。 
(1) RADIUS 采用 UDP 协议 在 客户 和 服务 器 之 间 进 行 交互 ,并 符合 RFC 2856 规 
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范 。RADIUS 服务 器 的 1812 端口 负责 认证 ,1813 端口 负责 计 费 工作 。 


(2) 采用 共享 密 钥 的 形式 。 这 个 密 钥 不 经 过 网 络 传播 ,而 密码 使 用 MD5 加 密 传输 。 


这 样 做 可 以 有 效 地 防止 密码 被 窃取 。 


(3) 重 传 机 制 。 能 够 在 一 个 网 络 内 设置 多 个 RADIUS 服务 器 , 当 某 一 个 服务 器 没有 
响应 时 ,用 户 还 可 以 向 其 他 的 服务 器 发 送 询问 请 求 。 当 然 ,如 果 RADIUS 服务 器 的 密 钥 


和 以 前 RADIUS 服务 器 的 密 钥 不 同 , 则 需要 重新 进行 认证 。 


(4) 配置 .使 用 简单 。 要 使 用 RADIUS, 用 户 需要 安装 客户 端 应 用 程序 ,申请 成 为 合 


法 用 户 , 并 使 用 自己 的 账号 进行 认证 。 


2. RADIUS 的 认证 过 程 


图 7-43 所 示 为 一 个 典型 的 RADIUS 认证 过 程 , 它 包 括 如 下 五 个 步骤 。 


用 户 路 由 器 


RADIUS 
认证 服务 器 


图 7-43 RADIUS 的 认证 过 程 


(1) 用 户 尝试 登录 路 由 器 ,提供 必要 的 账号 和 密码 信息 。 
(2) 路 由 器 将 用 户 信息 加 密 , 转 发 给 RADIUS 认证 服务 器 。 
(3) RADIUS 认证 服务 器 在 RADIUS 数据 库 中 查找 相关 的 用 户 信息 。 


(4) 根据 查找 的 结果 向 路 由 器 发 送 回 应 。 


@ 如 果 找 到 匹配 项 , 则 返回 一 个 访问 允许 (access-accept) 消 息 。 
@ 如 果 没 有 找到 匹配 项 , 则 返回 一 个 访问 拒绝 (access-reject) 消 息 。 
(5) 路 由 器 根据 RADIUS 认证 服务 器 的 返回 值 确定 允许 或 拒绝 用 户 的 登录 请 求 。 


也 可 以 在 同一 个 网 络 中 安装 多 个 RADIUS 
服务 器 ,这 样 可 以 提供 更 加 有 效 的 认证 。 

图 7-44 所 示 为 一 个 多 RADIUS 认证 服务 
器 协同 工作 的 过 程 , 如 果 路 由 器 在 向 RADIUS 
认证 服务 器 1 发 送 认证 请 求 后 ,在 一 定时 间 内 
没有 接 到 响应 , 它 可 以 向 网 络 中 的 另 一 台 认 证 
服务 器 , 即 RADIUS 认证 服务 器 2 发 送 认 证 请 
求 。 依 次 类 推 ,直到 路 由 器 从 某 个 服务 器 得 到 
了 认证 为 止 。 当 然 , 如 果 所 有 的 认证 服务 器 都 
不 可 用 , 那 这 次 认证 也 就 失败 了 。 


735 TACACS+ 


TACACS 十 是 一 种 安全 协议 ,能 够 为 试图 访问 某 个 资源 的 用 户 提供 集中 的 验证 。 最 


2 
时 一 GE 认证 服务 器 1 
SN 
路 由 器 六 


认证 服务 器 2 


7-44 多 RADIUS 认证 服务 器 协同 工作 
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早 是 由 Cisco 公司 当做 网 络 设备 协议 来 开发 的 ,但 其 规范 已 经 成 为 工业 标准 。 

TACACS 十 服务 维护 于 一 个 数据 库 中 ,该 数据 库 是 由 运行 在 UNIX 或 Windows 上 
的 TACACS 十 守护 进程 管理 的 。TACACS 十 的 服务 是 运行 在 TCP 上 的 ,默认 端口 是 
49。 在 使 用 TACACS 十 的 访问 策略 前 ,必须 要 对 TACACS 十 服务 进行 配置 。 

TACACS 十 提供 了 分 离 式 模块 化 的 认证 ,授权 和 记 账 管理 。 它 为 认证 ,授权 和 记 账 
都 单独 设置 了 一 个 访问 控制 服务 ,也 就 是 守护 进程 。 每 个 守护 进程 在 维护 自己 数据 库 的 
同时 还 能 够 充分 利用 其 他 的 服务 ,无 论 这 些 服 务 是 位 于 同一 台 服 务 器 ,还 是 分 布 在 网 络 
中 。 当 然 这 依赖 于 守护 进程 的 能 力 。 


1. TACACS 十 的 特点 


TACACS 十 是 通过 AAA 的 安全 服务 来 管理 的 , 它 能 够 提供 如 下 的 特点 。 

1) 认证 

通过 登录 和 密码 对 话 .询问 和 响应 以 及 消息 等 方式 ,提供 对 认证 管理 的 完全 控制 。 

认证 服务 能 处 理 与 用 户 的 对 话 。 例 如 , 当 用 户 提供 了 账号 和 密码 后 ,向 用 户 访问 诸 
如 家 庭 地 址 .服务 类 型 或 社会 安全 号 等 问题 。 

TACACS 十 认证 服务 还 能 向 管理 所 在 机 器 发 送 消息 。 例 如 ,通知 管理 员 , 由 于 公司 
安全 策略 的 原因 必须 更 改 他 们 的 密码 。 

此 外 ,TACACS 十 协议 还 支持 被 访问 资源 与 TACACS 十 守护 进程 间 的 认证 功能 。 

2) 授权 

在 用 户 会 话 期 间 提供 对 用 户 操作 能 力 的 细 粒 度 访问 控制 ,包括 设置 自动 执行 的 命 
令 .访问 控制 ,会 话 的 持续 时 间或 协议 等 。 也 可 以 限制 用 户 在 使 用 认证 功能 时 允许 执行 
的 命令 。 

3) 记 账 

收集 用 户 记 账 、 审 计 或 报告 用 户 的 信息 ,并 将 它们 发 送 到 TACACS 十 守护 进程 。 网 
络 管理 员 能 使 用 记 账 功能 跟踪 用 户 的 活动 或 提供 用 户 的 记 账 信息 。 记 账 信息 由 用 户 的 
身份 .执行 的 命令 .登录 及 退出 时 间 .数据 包 的 数量 及 数据 包 的 字 节 等 构成 。 

4) 安全 

在 TACACS 十 守护 进程 与 网 络 设备 之 间 的 通信 采用 了 加 密 的 方式 ,对 数据 包 的 所 有 
数据 都 进行 加 密 ,而 不 向 RADIUS 那样 仅 对 密码 加 密 。 因 此 ,TACACS 十 协议 是 安全 
的 ,至 少 到 目前 为 止 ,还 没有 发 布 针 对 TACACS 十 协议 的 安全 警告 。 不 过 TACACS 十 协 
议 只 是 对 网 络 设备 与 TACACS 十 服务 间 的 传输 采用 了 加 密 的 方式 ,并 未 对 报 文 信息 加 
密 。 黑 客 还 是 可 以 使 用 sniffer 等 软件 探测 相关 的 信息 。 

5) 多 种 类 型 的 验证 方式 

TACACS 十 可 以 使 用 任何 由 TACACS 十 软件 支持 的 验证 ,将 多 种 验证 方式 结合 
来 ,以 提供 最 大 的 安全 保护 。 


2. TACACS 十 的 认证 过 程 


当 用 户 试图 访问 一 个 配置 了 TACACS 十 协议 的 路 由 器 时 ,开始 的 认证 过 程 如 下 。 
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(1) 路 由 器 在 用 户 与 TACACS 十 守护 进程 之 间 建 立 连接 并 传递 消息 。 这 是 一 个 交 
互 的 过 程 , 路 由 器 从 守护 进程 那里 得 知 需要 用 户 提供 什么 样 的 信息 并 返回 给 用 户 ,用 户 
按 要 求 填 写 完 毕 后 ,再 经 路 由 器 传送 给 TACACS 十 认证 服务 器 。 如 此 反复 直到 
TACACS 十 守护 进程 得 到 了 所 有 必要 的 认证 信息 为 止 。 通 常 认证 信息 包括 用 户 名 、 密 
码 .家庭 住 址 等 。 

(2) TACACS 十 守护 进程 根据 认证 信息 的 结果 向 路 由 器 发 送 响 应 。 响 应 包括 如 下 
4 种。 

@ ACCEPT: 认证 成 功 ,可 以 接着 做 其 他 的 事情 。 

@ REJECT: 认证 失败 ,拒绝 用 户 的 访问 。 

@ ERROR: 在 认证 的 过 程 中 出 现 了 错误 ,认证 终止 。 

@ CONTINUE: 需要 用 户 提供 额外 的 认证 信息 。 

(3) 认证 成 功 后 ,还 需要 进行 TACACS 十 授权 。 这 依然 需要 路 由 器 与 TACACS 十 
守护 进程 建立 连接 ,守护 进程 会 返回 下 列 两 种 类 型 的 响应 。 

Q@ REJECT: 拒绝 访问 。 

@ ACCEPT: 允许 访问 。 用 户 可 以 对 路 由 器 执行 一 些 操作 。 


736 身份 认证 管理 


1. 产生 身份 认证 管理 的 需求 


有 了 身份 认证 系统 ,但 随 着 应 用 系统 不 断 增 多 以 及 用 户 雇员 流动 增 大 ,网 络 管理 人 
员 还 会 遇 到 两 个 很 头痛 的 问题 : 一 是 在 为 新 员工 创建 新 账户 ,激活 所 有 他 可 以 使 用 的 资 
源 时 ,需要 多 长 时 间 ? 二 是 当 有 员工 离职 时 ,能 在 多 短 的 时 间 内 将 他 的 所 有 账户 清除 ? 

当 企业 的 员工 人 数 不 多 IT 应 用 也 不 多 的 时 候 , 上 面 的 问题 也 许 不 难 , 但 当 企 业 规模 
达到 一 定 程度 ,企业 内 部 的 “信息 孤岛 " 带 来 的 将 不 只 是 信息 沟通 困难 。 会 发 现 原来 存在 
于 各 个 独立 系统 中 的 资源 访问 权限 管理 和 身份 认证 管理 仍然 是 各自为政”。 当 网 络 中 
添加 的 资源 越 多 ,就 越 难 加 以 控制 ,从 而 导致 出 现 各 种 不 安全 可 能 。 新 的 基于 身份 认证 
(Identity-based) 管 理 技术 的 兴起 将 有 助 于 理 顺 网 络 秩序 ,下 面 将 从 不 同 的 层面 来 诠释 身 
份 认证 管理 的 发 展现 状 。 

部 署 基 于 身份 认证 管理 的 IT 基础 架构 是 今后 的 大 方向 。 更 重要 的 是 数字 化 的 身份 
认证 管理 正在 从 安全 到 服务 配置 的 各 个 层面 改变 网 络 的 外 观 和 内 在 管理 机 制 。 

传统 的 企业 安全 模型 是 通过 对 少量 数据 中 心 进 行 参数 化 实现 的 ,但 这 种 方式 已 经 无 
法 满足 业务 增长 过 程 中 遇 到 的 适应 性 和 扩展 性 需求 。 而 新 的 基于 身份 认证 的 访问 系统 
能 够 在 帮助 企业 管理 好 复杂 网 络 的 同时 ,使 得 系统 安全 能 够 与 其 商业 目标 更 加 接近 ,而 
不 仅仅 是 从 IT 的 角度 考虑 系统 该 如 何 管理 。 像 BM、Novell、Netegrity、Oblix 等 厂商 现 
在 都 提供 相应 的 身份 认证 管理 (Identity Management) 解 决 方案 。 

身份 认证 管理 技术 已 经 在 单 点 登录 (single sign-on,SSO) 领域 成 功 应 用 ,但 其 实 SSO 
只 是 它 的 应 用 之 一 ,基于 身份 认证 管理 的 网 络 管理 才 是 它 今后 更 为 宽广 的 发 展 方向 。 

“企业 在 身份 认证 管理 上 的 投资 正 使 以 身份 认证 为 中 心 的 网 络 管理 成 为 可 能 。” 
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Burton 集团 副 总 裁 兼 目录 和 安全 战略 部 门 服务 总 监 Phil Schacter 如 是 说 。 他 特别 指出 ， 
当今 网 络 在 移动 性 和 远程 访问 方面 能 力 的 增强 逐渐 成 为 网 络 管理 向 基于 身份 认证 系统 
迁移 的 驱动 力量 。 

身份 认证 管理 系统 不 仅 定义 了 用 户 是 谁 , 而 且 把 * 谁 与 “什么 "直接 联系 在 一 起 。 例 
如 用 户 在 组 织 中 的 角色 是 什么 ? 用户 需 要 访问 什么 资源 和 信息 ? 他 /她 能 够 对 信息 进行 
什么 操作 ,不 能 进行 什么 操作 ? 身份 认证 提供 了 一 个 整体 视图 ,使 企业 的 策略 和 流程 一 
致 地 应 用 于 整个 企业 当中 ,其 工作 原理 如 图 7-45 所 示 。 


用 户 身份 鉴别 访问 控制 
。。 生物 识别 技术 授权 
eae 数字 证 书 策略 执行 
应 用 密码 单 点 登录 
公共 服 多》 身份 认证 仓库 
虚拟 目录 或 元 目录 导 
目录 | 目录 | 目录 网 络 /服务 器 


图 7-45 身份 认证 管理 系统 工作 原理 


通过 强化 管理 每 个 用 户 的 访问 与 授权 信息 ,身份 认证 管理 解决 方案 使 得 网 络 能 够 保 
持 最 新 状态 ,新 员工 能 够 迅速 访问 企业 内 外 部 网 络 。 无 用 账户 将 被 尽快 清理 ,以 免 离职 
员工 利用 其 旧账 户 进行 非法 操作 。 它 还 能 提供 审核 信息 ,确保 企业 对 管理 法 规 条 例 的 遵 
守 。 并 能 保护 员工 隐私 和 加 强 访问 控制 。 最 重要 的 是 基于 身份 认证 的 网 络 管理 使 得 安 
全 脱离 了 数据 中 心 ,而 且 它 基于 角色 管理 的 方式 使 得 网 络 管理 与 企业 的 业务 需求 更 
相符 。 


2. 先 集成 目录 


将 自己 的 网 络 管理 系统 向 基于 身份 认证 的 网 络 管理 迁移 时 要 求 很 苛刻 ,但 这 并 不 意 
味 着 彻底 推翻 原 有 的 软件 基础 架构 。 相 反 , 身 份 认证 系统 能 够 使 现 有 的 基础 架构 更 加 强 
壮 和 智能 化 ,并 且 更 易于 防范 未 经 授权 的 访问 企图 。 

要 做 的 第 一 步 工作 就 是 建立 身份 认证 仓库 (identity storehouse) ,将 用 户 的 访问 信息 
独立 于 应 用 程序 来 进行 集中 管理 。 典 型 的 形式 是 采用 网 络 目录 ,如 LDAP 目录 、 微 软 的 
活动 目录 、Novell 的 eDirectory 等 。 

有 实 上 现在 很 多 组 织 已 经 维护 有 多 个 网 络 身份 认证 信息 目录 ,并 且 拥 有 多 个 合作 伙 
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伴 、 供 应 商 和 客户 的 数据 库 , 里 面 常 常 包含 有 重复 的 、 非 公共 的 数据 。 也 就 是 说 目录 也 需 

目前 正在 形成 的 两 类 目录 集成 工具 能 够 担 此 重任 。 例 如 Novell Nsure Identity 
Manager 这 样 的 元 目录 (metadirectory) 解 决 方案 就 可 以 建立 单一 的 权威 目录 作为 所 有 数 
据 的 数据 源 。 另 一 方面 , 像 OctetString Virtual Directory Engine 这 样 的 虚拟 目录 产品 能 
够 提供 虚拟 的 单一 数据 库 ,但 实际 上 它 是 从 各 个 数据 源 抽取 数据 ,并 使 数据 显示 来 自 同 
一 位 置 。 在 企业 选择 建立 身份 认证 仓库 的 工具 时 ,需要 考虑 已 有 的 组 织 架 构 , 没 有 哪 种 
方式 拥有 绝对 优势 。 

如 果 不 同 的 工作 组 对 各 自 的 数据 有 所 有 权 问 题 , 那 虚拟 目录 就 是 较 好 的 选择 , 它 不 
会 改动 数据 ,只 是 指向 数据 的 位 置 而 已 。 如 果 数 据 的 准确 性 在 整个 企业 内 部 更 加 重要 ， 
那 元 目录 的 方式 当然 更 合适 。 


3. 从 单 点 登录 开始 


建立 起 身份 认证 仓库 并 部 署 了 管理 工具 之 后 ,就 可 以 开始 部 署 使 用 数字 身份 认证 技 
术 的 应 用 程序 了 。 

SSO 是 最 常 被 引用 的 例子 , 它 可 以 确保 用 户 使 用 一 个 用 户 名 和 一 个 密码 登录 所 有 的 
应 用 程序 。 在 SSO 环境 中 ,每 个 用 户 的 身份 认证 ,不 再 是 一 系列 琐碎 的 用 户 名 和 密码 , 定 
义 了 他 /她 在 网 络 上 能 做 什么 事情 。 因 此 ,用 户 只 需 签到 一 次 , 即 可 得 到 相应 应 用 程序 和 
数据 的 访问 权限 。 

在 实际 应 用 中 ,用 户 都 非常 喜欢 SSO 带 来 的 操作 过 程 的 简化 ,但 其 实 这 并 不 是 基于 
身份 认证 技术 的 最 大 好 处 。 虽 然 一 些 IT 管理 员 担心 ,一 次 登录 就 能 够 访问 多 个 应 用 容 
易 扩大 攻击 者 对 网 络 的 破坏 范围 ,但 实际 上 当 用 户 不 得 不 维护 多 个 用 户 名 和 密码 时 ,他 
们 更 倾向 于 选择 一 些 容易 被 猜 出 的 密码 ,安全 性 反而 容易 受到 威胁 。 如 果 是 由 IT 部 门 
指定 的 不 易 猜 测 的 密码 ,用 户 则 会 把 登录 信息 记录 在 纸 上 或 是 电子 文档 中 ,也 很 容易 泄 
露 密码 。 此 外 ,用 户 要 记 的 密码 越 多 ,就 越 有 可 能 忘记 其 中 的 一 两 个 ,要 是 有 几 千 用 户 ， 
光 是 重新 设置 忘记 的 密码 就 会 给 IT 支持 部 门 造 成 很 多 不 必要 的 工作 量 。 而 采用 基于 身 
份 认 证 的 单 点 登录 技术 ,将 能 显著 降低 最 终 用 户 支持 的 成 本 。 


4. 身份 认证 管理 系统 的 其 他 优点 


除了 能 实现 SSO, 基 于 身份 认证 的 网 络 管理 还 能 帮助 管理 员 集 中 创建 和 销毁 网 络 账 
户 。 例 如 利用 Netegrity 公司 Identity Minder eProvision 产品 等 基于 身份 认证 的 配置 
(provisioning) 系 统 ,在 几 分 钟 内 就 可 以 为 新 雇员 设置 好 电子 邮件 .应 用 程序 和 网 络 访问 
权限 。 其 中 许可 权限 可 以 基于 已 经 建立 好 的 规则 进行 分 配 ,管理 员 只 需要 向 系统 输入 一 
些 简单 信息 ,如 员工 姓名 、 职 位 、 编 号 等 ,身份 认证 管理 解决 方案 就 能 自动 完成 其 余 的 配 
置 工作 。 

与 设立 新 账户 相对 应 ,从 系统 中 删除 账户 也 同样 迅速 。 与 在 多 个 相互 割裂 的 企业 IT 
系统 中 手工 删除 所 有 信息 (不 能 漏 掉 任 何 一 个 远程 访问 服务 器 .虚拟 专用 网 无线 访问 点 
等 ) 相 比 ,身份 认证 管理 解决 方案 的 自动 化 程度 和 准确 程度 显然 更 高 ,离职 员工 的 密码 被 
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遗漏 在 网 络 某 个 角落 的 风险 大 大 降低 。 

Burton 集团 的 高 级 分 析 师 Mike Neuenschwander 表示 ,自动 化 配置 能 力 将 使 大 多 数 
企业 在 身份 认证 管理 上 的 投资 得 到 快速 而 明显 的 回报 。 他 还 指出 ,作为 身份 认证 管理 系 
统 中 最 具 吸 引力 和 最 易 部 署 的 组 件 , 自 动 化 配置 的 市 场 非常 诱 人 。 

当然 ,自动 化 配置 并 不 是 一 件 简单 的 事情 。 除 了 为 用 户 设置 许可 权限 外 , 它 还 涉 
及 到 为 移动 设备 .应 用 程序 等 授予 权限 ,以 及 管理 其 他 IT 资产 。 此 外 ,很 多 企业 把 它 
们 的 身份 认证 管理 系统 扩展 到 了 企业 网 络 之 外 ,把 合作 伙伴 、 供 应 商 、 客 户 等 都 包含 
进来 。 

“就 像 飞机 飞行 不 能 只 是 依赖 自动 挡 ”, Neuenschwander 说 道 , 企业 需要 有 专人 负 
责 策略 设置 .规则 查看 .进行 必要 的 改动 以 及 批准 这 些 改动 ,最终 对 访问 批准 或 拒绝 负责 
的 应 该 是 企业 的 管理 人 员 ,而 不 是 身份 认证 管理 系统 。” 


737 ”82 公认 证 应 用 


目前 ,在 实际 实施 的 认证 方式 有 Web、PPPoE 和 802. 1x 三 种 。Web 认证 方式 简单 
方便 ,但 信息 安全 性 很 差 ,其 兼容 性 和 方便 性 是 通过 牺牲 一 定 的 安全 性 换 来 的 。PPPoE 
方式 安全 性 较 好 ,但 设备 投入 较 大 。802. 1x 安装 设置 比较 麻烦 ,但 拥有 极 好 的 信息 安全 
性 ,可 以 和 其 他 安全 措施 集成 使 用 ,便于 构筑 整体 的 网 络 安全 体系 。 因 此 使 用 802. 1x 认 
证 方式 已 经 成 为 普遍 采用 的 认证 方式 。 


1. 802. 1x 概述 


802. 1x 协议 起 源 于 802. 11 协议 ,后 者 是 IEEE 的 无 线 局 域 网 协议 ,制定 802. 1x 
协议 的 初衷 是 为 了 解决 无 线 局 域 网 用 户 的 接 人 认证 问题 。IEEE 802 协议 定义 的 局 域 
网 并 不 提供 接 入 认证 ,只 要 用 户 能 接 入 局 域 网 控制 设备 (如 LAN Switch) ,就 可 以 访问 
局 域 网 中 的 设备 或 资源 。 这 在 早期 企业 网 有 线 LAN 应 用 环境 下 并 不 存在 明显 的 安全 

随 着 移动 办 公 及 驻地 网 运营 等 应 用 的 大 规模 发 展 ,服务 提供 者 需要 对 用 户 的 接 入 进 
行 控制 和 配置 。 尤 其 是 WLAN 的 应 用 和 LAN 接 人 在 电信 网 上 大 规模 开展 ,有 必要 对 端 
口 加 以 控制 以 实现 用 户 级 的 接 入 控制 ,802. 1x 就 是 IEEE 为 了 解决 基于 端口 的 接 人 控制 
(port-based network access control) 而 定义 的 一 个 标准 。 


2. 802. 1x 认证 体系 


802. 1x 是 一 种 基于 端口 的 认证 协议 ,是 一 种 对 用 户 进 行 认证 的 方法 和 策略 。 端 口 可 
以 是 一 个 物理 端口 ,也 可 以 是 一 个 逻辑 端口 (如 VLAN)。 对 于 无 线 局 域 网 来 说 ,一 个 端 
口 就 是 一 个 信道 。802. 1x 认证 的 最 终 目的 就 是 确定 一 个 端口 是 否 可 用 。 对 于 一 个 端口 ， 
如 果 认 证 成 功 ,那么 就 “打开 ”这 个 端口 ,允许 所 有 的 报 文通 过 。 如 果 认 证 不 成 功 ,就 使 这 
个 端口 保持 “关闭 ”, 即 只 允许 802. 1x 的 认证 协议 报 文通 过 。 

802. 1x 的 体系 结构 如 图 7-46 所 示 。 它 的 体系 结构 中 包括 三 个 部 分 , 即 请 求 者 系统 、 
认证 系统 和 认证 服务 器 系统 。 
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和 人 1 | 加 | 
| 请 求 者 系统 ! | 认证 系统 ! | 认证 服务 器 | 
| 图 | | 系统 | 
| 1 ! 三 认证 系统 | | 认证 系统 | IEAPOR/| ! 
1 [ 请求 者 PAE | ! | | 提供 的 服务 | | 提供 PAE | /CHAP, |- | 认证 服务 器 |! 
| | TPAp 等 | | 
| 芭 下 | 1 
上 1 1 1 | 1 
上 站 生 1 1 
上 时 出 1 1 1 
上 | 1 
1 1 1 控 端 口 | 1 1 

2EEEEEEH | LJ 
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7-46 IEEE 802. 1x 认证 的 体系 结构 


1) 请 求 者 系统 

客户 端 系统 一 般 为 一 个 用 户 终 端 系统 ,该 终端 系统 通常 要 安装 一 个 客户 端 软件 ,用 
户 通过 启动 这 个 客户 端 软件 发 起 IEEE 802. 1x 协议 的 认证 过 程 。 为 支持 基于 端口 的 接 
人 控制 ,客户 端 系统 需 支 持 EAPOL (extensible authentication protocol over LAN) 协 议 。 

2) 认证 系统 

认证 系统 对 连接 到 链 路 对 端的 认证 请 求 者 进行 认证 。 认 证 系统 通常 为 支持 
IEEE 802. 1x 协 议 的 网 络 设备 。 该 设备 对 应 于 不 同 用 户 的 端口 (可 以 是 物理 端口 ,也 可 以 
是 用 户 设 备 的 MAC 地 址 、VLAN ,IP 等 ) 有 两 个 逻辑 端口 : 受 控 (controlled port) 端 口 和 
不 受 控 端口 (uncontrolled port)。 不 受 控 端 口 始终 处 于 双向 连通 状态 ,主要 用 来 传递 
EAPOL 协议 帧 ,可 保证 客户 端 始终 可 以 发 出 或 接受 认证 。 受 控 端 口 只 有 在 认证 通过 的 状 
态 下 才 打 开 , 用 于 传递 网 络 资源 和 服务 。 受 控 端 口 可 配置 为 双向 受 控 \ 仅 输入 受 控 两 种 方 
式 , 以 适应 不 同 的 应 用 环境 。 如 果 用 户 未 通过 认证 , 则 受 控 端 口 处 于 未 认证 状态 , 则 用 户 无 
法 访问 认证 系统 提供 的 服务 。 一 般 在 用 户 接 人 设备 (如 LAN Switch 和 AP) 上 实现 802. 1x 
认证 。 

3) 认证 服务 器 系统 

认证 服务 器 存储 有 关 用 户 的 信息 ,例如 用 户 所属 的 VLAN、CAR 参数 .优先 级 、 用 户 
的 访问 控制 列表 等 。 当 用 户 通过 认证 后 .认证 服务 器 会 把 用 户 的 相关 信息 传递 给 认证 系 
统 , 由 认证 系统 构建 动态 的 访问 控制 列表 .用 户 的 后 续 流 量 就 将 接受 上 述 参数 的 监管 。 
认证 服务 器 和 RADIUS 服务 器 之 间 通 过 EAP 协议 进行 通信 。 建 议 使 用 RADIUS 服务 
器 来 实现 认证 服务 器 的 认证 和 授权 功能 。 

请 求 者 和 认证 系统 之 间 运 行 802. 1x 定义 的 EAPOL 协议 。 当 认证 系统 工作 于 中 继 
方式 时 ,认证 系统 与 认证 服务 器 之 间 也 运行 EAP 协议 。EAP 帧 中 封装 认证 数据 ,将 该 协 
议 承 载 在 其 他 高 层次 协议 中 (如 RADIUS) ,以 便 穿越 复杂 的 网 络 到 达 认 证 服务 器 。 当 认 
证 系统 工作 于 终结 方式 时 ,认证 系统 终结 EAPOL 消息 ,并 转换 为 其 他 认证 协议 (如 
RADIUS) ,传递 用 户 认证 信息 给 认证 服务 器 系统 。 

认证 系统 每 个 物理 端口 内 部 包含 有 受 控 端 口 和 非 受 控 端口 。 非 受 控 端口 始终 处 于 双 
向 连通 状态 ,主要 用 来 传递 EAPOL 协议 帧 .可 随时 保证 接收 认证 请 求 者 发 出 的 EAPOL 认 
证 报 文 。 受 控 端 口上 只 有 在 认证 通过 的 状态 下 才 打开 .用 于 传递 网 络 资源 和 服务 。 
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3. 和 其 他 认证 方式 的 比较 


IEEE 802. 1x 协议 虽然 源 于 IEEE 802. 11 无 线 以 太 网 (EAPOW) ,但 是 , 它 在 以 太 网 
中 的 引入 ,解决 了 传统 的 PPPoE 和 Web/Portal 认证 方式 带 来 的 问题 ,消除 了 网 络 瓶颈 ， 
减轻 了 网 络 封 装 开销 ,降低 了 建 网 成 本 。 

众所周知 ,PPPoE 是 从 基于 ATM 的 窄带 网 引入 到 宽带 以 太 网 的 ,由 此 可 以 看 出 ， 
PPPoE 并 不 是 为 宽带 以 太 网 量 身 订 做 的 认证 技术 ,将 其 应 用 于 宽带 以 太 网 ,必然 会 有 其 
局 限 性 。 虽 然 其 方式 较 灵 活 ,在 窄带 网 中 有 较 丰 富 的 应 用 经 验 , 但 是 它 的 封装 方式 ,也 造 
成 了 宽带 以 太 网 的 种 种 问题 。 在 PPPoE 认证 中 ,认证 系统 必须 将 每 个 包 进 行 拆 解 才能 
判断 和 识别 用 户 是 否 合法 ,一旦 用 户 增 多 或 者 数据 包 增 大 ,封装 速度 必然 跟 不 上 ,成 为 了 
网 络 瓶颈 。 其 次 这 样 大 量 的 拆 包 解 包 过 程 必须 由 一 个 功能 强劲 同时 价格 昂贵 的 设备 来 
完成 ,这 个 设备 就 是 传统 的 BAS。 对 于 每 个 用 户 发 出 的 每 个 数据 包 ,BAS 必须 进行 拆 包 
识别 和 封装 转发 。 为 了 解决 瓶颈 问题 ,厂商 想 出 了 提高 BAS 性 能 ,或 者 采用 大 量 分 布 式 
BAS 等 方式 来 解决 问题 ,但 是 BAS 的 功能 就 决定 了 它 是 一 个 昂贵 的 设备 ,这 样 一 来 建设 
成 本 就 会 越 来 越 高 。 

Web/Portal 认证 是 基于 业务 类 型 的 认证 ,不 需要 安装 其 他 客户 端 软件 ,只 需要 浏览 
器 就 能 完成 ,就 用 户 来 说 较为 方便 。 但 是 由 于 Web 认证 是 7 层 协议 ,从 逻辑 上 来 说 为 了 
达到 网 络 2 层 的 连接 而 跑 到 7 层 做 认证 ,这 首先 不 符合 网 络 逻辑 。 其 次 由 于 认证 是 7 层 
协议 ,对 设备 必然 提出 更 高 要 求 ,增加 了 建 网 成 本 。 第 三 .Web 是 在 认证 前 就 为 用 户 分 配 
了 IP 地 址 ,对 目前 网 络 珍贵 的 IP 地 址 来 说 造成 了 浪费 ,而 且 分 配 IP 地 址 的 DHCP 服务 
器 对 用 户 而 言 是 完全 裸露 的 ,容易 造成 被 恶意 攻击 ,一旦 受 攻 击 瘫痪 , 整 网 就 没 法 认证 。 
为 了 解决 易 受 攻击 问题 ,就 必须 加 装 一 个 防火 墙 ,这 样 一 来 又 大 大 增加 了 建 网 成 本 。Web/ 
Portal 认证 用 户 连接 性 差 ,不 容易 检测 用 户 离 线 , 基 于 时 间 的 计 费 较 难 实现 。 用 户 在 访问 网 
络 前 ,不 管 是 Telnet .FTP 还 是 其 他 业务 ,必须 使 用 浏览 器 进行 Web 认证 , 易 用 性 不 够 好 ,而 
且 认 证 前 后 业务 流 和 数据 流 无 法 区 分 。 所 以 在 以 太 网 中 ,Web/Portal 认证 目前 只 是 限于 在 
酒店 等 特殊 网 络 环境 中 使 用 。Web、PPPoE 和 802. 1x 认证 的 区 别 参见 表 7-1。 


表 7-1 三 种 认证 方式 的 比较 


Web PPPoE 802. 1x 
客户 端 软件 不 需要 需要 需要 
标准 程度 厂家 私有 RFC2516 IEEE 标准 
封装 开销 小 较 大 小 

接 人 控制 方式 用 户 用 户 端口 
IP 地 址 认证 前 分 配 认证 后 分 配 认证 后 分 配 

VLAN 数目 要 求 多 无 无 
设备 支持 厂家 私有 业界 设备 业界 设备 
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4. 802. 1x 协议 技术 优点 


IEEE 802. 1x 协 议 为 二 层 协 议 ,不 需要 到 达 三 层 ,协议 实现 简单 ,对 设备 的 整体 性 能 
要 求 不 高 ,可 以 有 效 降 低 建 网 成 本 。 同 时 IEEE 802. 1x 的 认证 体系 结构 中 采用 了 “可 控 
端口 ?和 “不 可 控 端口 "的 逻辑 功能 ,从 而 可 以 实现 业务 与 认证 的 分 离 。 用 户 通过 认证 后 ， 
业务 流 和 认证 流 实现 分 离 ,对 后 续 的 数据 包 处 理 没 有 特殊 要 求 . 业 务 可 以 很 灵活 ,尤其 在 
开展 宽带 组 播 等 方面 的 业务 有 很 大 的 优势 ,所 有 业务 都 不 受 认 证 方式 限制 。 

总 结 起 来 ,802. 1x 认证 具有 以 下 优点 。 

(1) 简洁 高 效 : 纯 以 太 网 技术 内 核 ,保持 IP 网 络 无 连接 特性 ,去 除 宛 余 昂 贵 的 多 业 
务 网 关 设备 ,消除 网 络 认证 计 费 瓶颈 和 单 点 故障 ,易于 支持 多 业务 。 

(2) 容易 实现 : 可 在 普通 L3、L2、IP DSLAM 上 实现 ,网 络 综合 造价 成 本 低 。 

(3) 安全 可 靠 : 在 二 层 网 络 上 实现 用 户 认证 ,结合 MAC .端口 .账户 和 密码 等 。 绑 定 
技术 具有 很 高 的 安全 性 。 

(4) 行业 标准 : IEEE 标准 ,微软 操作 系统 内 置 支持 。 

(5) 易于 运营 : 控制 流 和 业务 流 完全 分 离 ,易于 实现 多 业务 运营 ,少量 改造 传统 包月 
制 等 单一 收费 制 网 络 即 可 升级 成 运营 级 网 络 。 


5.802. 1x 认证 流程 


基于 802. 1x 的 认证 系统 在 客户 端 和 认证 系统 之 间 使 用 EAPOL 格式 封装 EAP 协议 
传送 认证 信息 ,认证 系统 与 认证 服务 器 之 间 通 过 RADIUS 协议 传送 认证 信息 。 由 于 
EAP 协议 的 可 扩展 性 ,基于 EAP 协议 的 认证 系统 可 以 使 用 多 种 不 同 的 认证 算法 ,如 
EAP-MD5 .EAP-TLS、EAP-SIM、EAP-TTLS 以 及 EAP-AKA 等 认证 方法 。 

以 EAP-MD5 为 例 , 描 述 802. 1x 的 认证 流程 。 EAP-MD5 是 一 种 单 向 认证 机 制 ,可 
以 完成 网 络 对 用 户 的 认证 ,但 认证 过 程 不 支持 加 密 密 钥 的 生成 。 基 于 EAP-MD5 的 
802. 1x 认 证 系统 功能 实体 协议 栈 如 图 7-47 所 示 , 基 于 EAP-MD5 的 802. 1x 认证 流程 如 
图 7-48 所 示 。 


EAP 
EAP-MD5 |~=--— —--=~| EAP-MD5 
EAPOL EAPOL | RADIUS RADIUS 

1 UDP UDP 

| | IP 加 

MAC MAC MAC MAC 

PHY PHY PHY PHY 
客户 端 接 入 设备 RADIUS 


图 7-47 基于 EAP-MDS 的 802. 1x 认证 系统 功能 实体 协议 栈 


认证 流程 包括 以 下 步骤 。 

(1) 客户 端 向 接 入 设备 发 送 一 个 EAPOL-Start 报 文 ,开始 802. 1x 认证 接 入 。 

(2) 接 入 设备 向 客户 端 发 送 EAP-Request/Identity 报 文 , 要 求 客户 端 将 用 户 名 送 
主 来 。 
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本 CR 


EAPOL-Start 
EAP-Request/ID 
EAP-Response/ID 


| Access-Request /EAP-Response/ID _| 


Access-Challenge 
EAP-Request/MD5-Challenge 


I 


EAP-Request/ MD5-Challenge 


EAP-Response/MD5-Challenge 
(Challenged password) 


认证 过 程 | 


Access-Request/EAP-Response/ID 
一 | (Challenged password) 


Access-Accept(Accept/Reject)/ 
EAP-Success/Failure 


EAP-Success/Failure 


计 费 开始 请 求 
计 费 开始 应 答 


7-48 基于 EAP-MDS 的 802. 1x 认证 流程 


(3) 客户 端 回应 一 个 EAP-Response/Identity 给 接 人 设备 的 请 求 , 其 中 包括 用 户 名 。 

(4) 接 入 设备 将 EAP-Response/Identity 报 文 封装 到 RADIUS Access-Request 报 文 
中 ,发 送 给 认证 服务 器 。 

(5) 认证 服务 器 产生 一 个 Challenge, 通 过 接 入 设备 将 RADIUS Access-Challenge 报 
文 发 送 给 客户 端 , 其 中 包含 有 EAP-Request/ MD5-Challenge。 

(6) 接 入 设备 通过 EAP-Request/ MD5-Challenge 发 送 给 客户 端 ,要 求 客户 端 进行 
认证 。 

(7) 客户 端 收 到 EAP-Request/MD5-Challenge 报 文 后 ,将 密码 和 Challenge 做 MD5 
算法 后 的 Challenged-password ,在 EAP-Response/MD5-Challenge 回应 给 接 入 设备 。 

(8) 接 入 设备 将 Challenge、Challenged password 和 用 户 名 一 起 送 到 RADIUS 服务 
器 ,由 RADIUS 服务 器 进行 认证 。 

(9) RADIUS 服务 器 根据 用 户 信息 ,做 MD5 算法 ,判断 用 户 是 否 合法 ,然后 回应 认 
证 成 功 /失败 报 文 到 接 和 人 设备。 如 果 成 功 ,携带 协商 参数 以 及 用 户 的 相关 业务 属性 给 用 
户 授权 。 如 果 认 证 失败 , 则 流程 到 此 结束 。 

(10) 如 果 认 证 通过 ,用 户 通过 标准 的 DHCP 协议 (可 以 是 DHCP Relay) ,通过 接 入 
设备 获取 规划 的 IP 地 址 。 

(11) 接 入 设备 发 起 计 费 开始 请 求 给 RADIUS 用 户 认证 服务 器 。 

(12) RADIUS 用 户 认 证 服务 器 回应 计 费 开始 请 求 报 文 ,用 户 上 线 完毕 。 


6. 802. 1x 认证 组 网 应 用 


按照 不 同 的 组 网 方式 ,802. 1x 认证 可 以 采用 集中 式 组 网 (汇聚 层 设备 集中 认证 )、 分 
布 式 组 网 ( 接 入 层 设备 分 布 认证 ) 和 本 地 认证 组 网 。 不 同 的 组 网 方式 下 ,802. 1x 认证 系统 
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实现 的 网 络 位 置 有 所 不 同 。 

1) 802. 1x 集中 式 组 网 (汇聚 层 设备 集中 认证 ) 

802. 1x 集中 式 组 网 方式 是 将 802. 1x 认证 系统 端 放 到 网 络 位 置 较 高 的 LAN Switch 
设备 上 ,这 些 LAN Switch 为 汇聚 层 设备 。 其 下 挂 的 网 络 位 置 较 低 的 LAN Switch 只 将 
认证 报 文 透 传 给 作为 802. 1x 认证 系统 端的 网 络 位 置 较 高 的 LAN Switch 设备 ,集中 在 该 
设备 上 进行 802. 1x 认证 处 理 。 这 种 组 网 方式 的 优点 在 于 802. 1x 采用 集中 管理 方式 , 降 
低 了 管理 和 维护 成 本 。 汇 聚 层 设 备 集中 认证 如 图 7-49 所 示 。 


什 明 Web 服务 器 RADIUS 服务 器 全 
全 


1 


/ 
/5. 用 户 获得 IP 地 址 后 ， 可 以 
/正常 访问 Internet 资 源 


,7 3. 汇聚 设备 作为 认证 系统 ， 与 RADIUS 
”服务 器 配合 完成 用 户 认 证 


1 

每 和 DHCP 服务 器 | 

~ 1 

围 ~ a 

4. 用 户 通过 认证 后 ， 从 /人 


DHCP 获得 IP 地 址 ,A / 
了 / 
客户 端 2. 接 入 设备 端口 通过 认证 前 不 能 访问 


[= = 三 任何 地 方 ， 并 且 不 能 获得 IP 地 址 
1 


1. 用 户 发 起 认证 
图 7-49 IEEE802. 1x 集中 式 组 网 (汇聚 层 设备 集中 认证 ) 


2) 802. 1x 分 布 式 组 网 ( 接 入 层 设备 分 布 认证 )Relay 

802. 1x 分 布 式 组 网 是 把 802. 1x 认证 系统 端 放 在 网 络 位 置 较 低 的 多 个 LAN Switch 
设备 上 ,这 些 LAN Switch 作为 接 入 层 边 缘 设备 。 认 证 报 文 送 给 边缘 设备 ,进行 802. 1x 
认证 处 理 。 这 种 组 网 方式 的 优点 在 于 , 它 采 用 中 /高 端 设备 与 低 端 设备 认证 相 结 合 的 方 
式 , 可 满足 复杂 网 络 环境 的 认证 。 认 证 任务 分 配 到 众多 的 设备 上 ,减轻 了 中 心 设备 的 负 
位。 接 入 层 设备 分 布 认证 如 图 7-50 所 示 。 

802. 1x 分 布 式 组 网 方式 非常 适用 于 受 控 组 播 等 特性 的 应 用 ,建议 采用 分 布 式 组 网 对 
受 控 组 播 业务 进行 认证 。 如 果 采 用 集中 式 组 网 将 受 控 组 播 认证 设备 端 放 在 汇聚 设备 上 ， 
从 组 播 服务 器 下 行 的 流 在 到 达 汇 聚 设备 之 后 ,由 于 认证 系统 还 下 挂 接 入 层 设备 ,将 无 法 
区 分 最 终 用 户 。 若 打开 该 受 控 端口 , 则 汇聚 层 端 口 以 下 的 所 有 用 户 都 能 够 访问 到 受 控 组 
播 消息 源 。 反 之 ,如 果 采 用 分 布 式 组 网 , 则 从 组 播 服务 器 来 的 组 播 流 到 达 接 入 层 认 证 系 
统 , 可 以 实现 组 播 成 员 的 精确 粒度 控制 。 

3) 802. 1x 本 地 认证 组 网 

802. 1x 的 AAA 认证 可 以 在 本 地 进行 ,而 不 用 到 远 端 认 证 服务 器 上 去 认证 。 这 种 本 
地 认证 的 组 网 方式 在 专线 用 户 或 小 规模 应 用 环境 中 非常 适用 。 它 的 优点 在 于 节约 成 本 ， 
不 需要 单独 购置 昂贵 的 服务 器 ,但 随 着 用 户 数 目的 增加 ,还 需要 由 本 地 认证 向 RADIUS 
认证 迁移 。 
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/4. 接 入 设备 与 RADIUS 服 务 器 
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2.EAPOL Relay -一 pd 


A 
6. 用 户 通过 认证 后 , 从 
DHCP 获 得 IP 地 址 


1. 用 户 发 起 认证 
7-50 IEEE 802. 1x 分 布 式 组 网 ( 接 入 层 设备 分 布 认证 ) 


802. 1x 认证 系统 提供 了 一 种 用 户 接 入 认证 的 手段 , 它 仅 关注 端口 的 打开 与 关闭 。 对 
于 合法 用 户 ( 根 据 账号 和 密码 ) 接 入 时 ,该 端口 打开 ,而 对 于 非法 用 户 接 入 或 没有 用 户 接 
入 时 , 则 使 端口 处 于 关闭 状态 。 认 证 的 结果 在 于 端口 状态 的 改变 ,而 不 涉及 其 他 认证 技 
术 所 考虑 的 IP 地 址 协商 和 分 配 问题 ,是 各 种 认证 技术 中 最 为 简化 的 实现 方案 。 

必须 注意 到 802. 1x 认证 技术 的 操作 颗粒 度 为 端口 ,合法 用 户 接 入 端口 之 后 ,端口 始 
终 处 于 打开 状态 ,此 时 其 他 用 户 ( 合 法 或 非法 ) 通 过 该 端口 接 入 时 ,不 需 认证 即 可 访问 网 
络 资源 。 如 果 需 要 更 高 级 别 的 安全 ,还 需要 和 访问 控制 结合 进行 认证 。 对 于 无 线 局 域 网 
接 入 而 言 ,认证 之 后 建立 起 来 的 信道 (端口 ) 被 独占 ,不 存在 其 他 用 户 非法 使 用 的 问题 。 
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741 虚拟 专 网 概述 


1. 虚拟 专 网 基本 原理 


虚拟 专 网 是 虚拟 私有 网 络 , 它 是 一 种 利用 公共 网 络 来 构建 的 私有 专用 网 络 。 目 前 ， 
能 够 用 于 构建 VPN 的 公共 网 络 包括 Internet 和 服务 提供 商 (ISP) 所 提供 的 DDN 专线 
(data digit network leased lind) 、 帧 中 继 (frame relay)、ATM 等 ,构建 在 这 些 公 共 网 络 上 
的 VPN 将 给 企业 提供 集 安全 性 `. 可 靠 性 和 可 管理 性 于 一 身 的 私有 专用 网 络 。 

“虚拟 ”的 概念 是 相对 传统 私有 专用 网 络 的 构建 方式 而 言 的 ,对 于 广域网 连接 ,传统 
的 组 网 方式 是 通过 远程 拨号 和 专线 连接 来 实现 的 ,而 VPN 是 利用 服务 提供 商 所 提供 的 
公共 网 络 来 实现 远程 的 广 域 连接 。 通 过 VPN( 模 型 如 图 7-51 所 示 ) ,企业 可 以 以 明显 更 
低 的 成 本 连接 它们 的 远 地 办 事 机 构 、 出 差 工 作 人 员 以 及 业务 合作 伙伴 。 

为 了 形成 这 样 的 链 路 ,采用 了 所 谓 的 “隧道 ”技术 。 可 以 模仿 点 对 点 连接 技术 ,依靠 
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VPN 通道 


7-51 VPN 模型 


Internet 服务 提供 商 (ISP) 和 其 他 的 网 络 服务 提供 商 (NSP) 在 公用 网 中 建立 自己 专用 的 
“隧道 ”, 让 数据 包 通 过 这 条 隧道 传输 加 密 传输 专用 数据 流量 。 在 VPN 中 ,PPP 数据 包 流 
是 由 一 个 LAN 上 的 路 由 器 发 出 ,通过 共享 IP 网 络 上 的 隧道 进行 传输 ,再 到 达 另 一 个 LAN 
上 的 路 由 器 。 隧 道 代 替 了 实 实在 在 的 专用 线路 。 对 于 不 同 的 信息 来 源 ,可 分 别 给 它们 开 出 
不 同 的 隧道 。 于 是 ,兼容 性 问题 .不同 的 服务 质量 要 求 以 及 其 他 的 麻烦 都 迎刃而解 。 

虚拟 网 络 用 户 在 安全 性 可 得 到 完全 保证 的 前 提 下 , 均 可 通过 当地 的 电话 或 租用 线路 
服务 建立 联系 ,而 不 必 租 用 长 途 线路 ,连接 各 机 构 的 所 有 办 公 室 、 远 程 工作 人 员 、 移 动员 
工 , 甚 至 于 国内 外 范围 的 客户 和 供应 商 。 虚 拟 专 网 减少 了 设备 需求 及 网 络 维护 责任 ,能 
够 为 用 户 节省 大 量 的 开支 。 

然而 选择 一 个 合适 的 VPN 解决 方案 或 产品 对 一 个 管理 人 员 来 说 是 困难 的 ,因为 每 
一 种 解决 方案 都 可 提供 不 同 程度 的 安全 性 .可 用 性 ,并 且 都 各 有 优 缺 点。 为 了 选择 一 个 
合适 的 VPN 产品 ,决策 者 应 该 首先 明确 他 们 公司 的 商业 需求 ,例如 公司 是 需要 将 少数 几 
个 可 信 的 远 地 雇 员 联 到 公司 总 部 ,还 是 希望 为 每 个 分 支 机 构 合 作 伙伴 、 供 应 商 、 顾 客 和 远 
地 雇员 都 建立 一 个 安全 连接 通道 。 不 管 怎 样 ,一 个 VPN 至 少 应 该 能 提供 如 下 功能 。 

(1) 加 密 数 据 以 保证 通过 公 网 传输 的 信息 即使 被 他 人 截获 也 不 会 泄露 。 

(2) 信息 认证 和 身份 认证 保证 信息 的 完整 性 、 合 法 性 并 能 鉴别 用 户 的 身份 。 

(3) 提供 访问 控制 ,不同 的 用 户 有 不 同 的 访问 权限 。 

基于 Internet 建立 的 VPN 如 果实 施 得 当 , 可 以 保护 网 络 免 受 病毒 感染 防止 欺骗 、 
防止 商业 间谍 ,增强 访问 控制 .增强 系统 管理 及 加 强 认证 等 。 在 VPN 提供 的 功能 中 , 认 
证 和 加 密 是 最 重要 的 。 而 访问 控制 相对 比较 复杂 ,因为 它 的 配置 与 实施 策略 和 所 用 工具 
紧密 相关 。VPN 的 三 种 功能 必须 相互 配合 才能 保证 真正 的 安全 性 。 

目前 ,VPN 技术 已 经 成 为 防火 墙 的 重要 功能 . 绝 大 多 数 防火 墙 都 支持 VPN ,因此 利 
用 防火 墙 构建 VPN 已 经 成 为 一 种 经 典 的 方案 ,这 样 既 可 以 发 挥 防火 墙 本 身 的 功能 ,又 可 
以 允许 远程 用 户 通过 防火 墙 联 入 一 个 内 部 网 络 。 


2. VPN 的 优点 


1) 降低 成 本 
借助 ISP 来 建立 VPN, 对 于 VPN 用 户 而 言 ,利用 Internet 组 建 私 有 网 ,将 大 笔 的 专 
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线 费用 缩减 为 少量 的 市 话费 用 和 Internet 费用 ,就 可 以 节省 大 量 的 通信 费用 。 此 外 ， 
VPN 还 使 企业 不 必 投 入 大 量 的 人 力 和 物力 去 安装 和 维护 WAN 设备 和 远程 访问 设备 。 
这 些 工作 都 由 ISP 负责 完成 。 

2) 容易 扩展 

如 果 想 扩大 VPN 的 容量 和 覆盖 范围 。 总 部 需要 做 的 事情 很 少 ,而 且 能 立即 实现 。 
企业 只 需 与 新 的 ISP 签约 ,建立 账户 或 者 与 原 有 的 ISP 重 签 合 约 , 扩 大 服务 范围 。 在 远 
程 办 公 室 增加 VPN 能 力也 很 简单 。 通 过 配置 命令 就 可 以 使 Extranet 路 由 器 拥有 
Internet 和 VPN 能 力 , 路 由 器 还 能 对 工作 站 自动 进行 配置 。 

3) 可 随意 与 合作 伙伴 联网 

如 果 想 与 合作 伙伴 联网 ,没有 VPN, 双 方 的 信息 技术 部 门 就 必须 协商 如 何在 双方 之 
间 建 立 租 用 线路 或 帧 中 继 线路 。 有 了 VPN 之 后 ,这 种 协商 就 毫 无 必要 ,真正 达到 了 要 连 
就 连 、 要 断 就 断 。 

4) 完全 控制 主动 权 

VPN 使 用 户 可 以 利用 ISP 的 设施 和 服务 ,同时 又 完全 掌握 着 自己 网 络 的 控制 权 。 
比方 说 ,VPN 用 户 的 网 络 地 址 可 以 由 企业 内 部 进行 统一 分 配 `VPN 组 网 的 灵活 方便 等 特 
性 将 大 大 方便 企业 的 网 络 管理 ;用 户 可 以 把 拨号 访问 交 给 ISP 去 做 ,由 自己 负责 用 户 的 
查验 ,访问 权 、 网 络 地 址 、 安 全 性 和 网 络 变 化 管理 等 重要 工作 。 另 外 ,在 VPN 应 用 中 , 通 
过 远 端 用 户 认 证 以 及 隧道 数据 加 密 等 技术 使 得 通过 公用 网 络 传输 的 私有 数据 的 安全 性 
得 到 了 很 好 的 保证 。 


742 VPN 相 关 技 术 


对 于 构建 VPN 来 说 ,网 络 隧 道 (tunnelling) 技 术 是 个 关键 技术 , 它 主要 利用 网 络 隧 
道 协议 来 实现 两 个 网 络 协议 之 间 的 传输 。 网 络 隧道 技术 涉及 了 三 种 网 络 协议 ,有 网 络 隧 
道 协议 隧道 协议 下 面 的 承载 协议 和 隧道 协议 所 承载 的 被 承载 协议 。 现 有 两 种 类 型 的 隧 
道 协议 ,一 种 是 二 层 隧 道 协议 ,用 于 传输 二 层 网 络 协议 . 它 主要 应 用 于 构建 Access VPN; 
另 一 种 是 三 层 隧道 协议 ,用 于 传输 三 层 网 络 协 议 , 它 主要 应 用 于 构建 Intranet VPN 和 
Extranet VPN 。 


1. 二 层 隧 道 协议 


二 层 隧 道 协议 主要 有 三 种 ,分别 是 微软 .Ascend、3COM 等 公司 支持 的 点 对 点 隧道 协 
议 (point to point tunneling protocol, PPTP), Windows NT 4.0 以 上 版 本 中 有 支持 。 
Cisco ,北方 电信 等 公司 支持 的 二 层 转 发 协议 (layer 2 forwarding,L2F) ,在 Cisco 路 由 器 
中 有 支持 。 而 由 IETF 起草. 微软 Ascend、Cisco、3COM 等 公司 参与 的 二 层 隧 道 协 议 
(layer 2 tunneling protocol, L2TP) 结 合 了 上 述 两 个 协议 的 优点 .将 很 快 地 成 为 IETF 有 
关 二 层 隧道 协议 的 工业 标准 。 


2. 三 层 隧 道 协 议 
用 于 传输 三 层 网 络 协议 的 隧道 协议 叫 三 层 隧 道 协议 。 三 层 隧 道 协议 并 非 是 一 种 很 
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新 的 技术 ,早已 出 现 的 RFC 1701 (generic routing encapsulation,GRE) 协 议 就 是 个 三 层 
隧道 协议 。 新 出 来 的 IETF 的 IP 层 加 密 标 准 协 议 IPSec 协议 也 是 个 三 层 隧道 协议 。 
IPSec 协议 不 是 一 个 单独 的 协议 , 它 给 出 了 应 用 于 IP 层 上 网 络 数据 安全 的 一 整套 体系 结 
构 , 它 包括 网 络 安全 协议 (authentication header,AH) 和 (encapsulating security payload ， 
ESP) 协 议 、 密 钥 管理 协议 (internet key exchange,IKE) 协 议和 用 于 网 络 认 证 及 加 密 的 一 
些 算 法 等 。IPSec 规定 了 如 何在 对 等 层 之 间 选 择 安全 协议 ,确定 安全 算法 和 密 钥 交换 ,向 
上 提供 了 访问 控制 ,数据 源 认证 ,数据 加 密 等 网 络 安全 服务 。 


3. 安全 技术 


在 公用 网 络 上 构建 VPN 传输 私有 数据 ,网 络 安全 性 是 个 很 重要 的 问题 。 在 VPN 应 
用 中 应 用 了 一 系列 的 网 络 安 全 技术 ,如 网 络 防 火 墙 .应 用 IPSec 进行 隧道 上 的 网 络 数据 加 
密 、 进 行 L2TP 隧道 端的 相互 认证 等 ,使 得 在 公用 网 络 上 传输 的 私有 网 络 数据 的 安全 性 
得 到 了 保证 。 

安全 性 通过 以 下 几 个 方面 来 得 到 保证 。 

(1) 在 VPN 用 户 拨 入 LAC( 接 入 服务 器 ) 时 ,即使 被 发 现 是 VPN 用 户 ( 比 如 通过 用 
户 名 中 的 域名 ) , 仍 需要 与 接 人 服务 器 端的 RADIUS 服务 器 进行 用 户 身份 认证 。 如 果 认 
证 不 通过 , 则 用 户 不 能 使 用 VPN 业务 。 

(2) 在 建立 L2TP 隧道 时 ,通道 两 端 需要 相互 认证 ,LNS 端 对 于 VPN 用 户 可 以 再 次 
进行 身份 认证 。 

(3) 在 VPN 用 户 通过 接 入 服务 器 端的 身份 认证 时 ,将 和 普通 用 户 类 似 受权 限 限制 ， 
不 能 任意 访问 网 内 资源 。 

(4) 最 终 接 入 内 部 网 认证 由 用 户 实现 ,在 这 种 情况 下 ,需要 有 自己 的 认证 服务 器 。 


743 VPN 的 分 类 及 用 途 


在 连接 到 Internet 之 前 ,用 户 应 制定 出 相应 的 安全 策略 ,清楚 地 说 明 不 同 身份 的 用 
户 可 以 访问 哪些 资源 。 一 个 更 安全 的 解决 方案 可 能 包括 防火 墙 .路 由 器 .代理 服务 器 、 
VPN 软件 或 硬件 。 它 们 中 的 任何 一 种 设备 可 能 提供 足够 的 安全 通信 ,但 是 采用 何 种 设 
备 取决 于 用 户 的 安全 策略 。 

根据 不 同 需要 可 以 构造 不 同类 型 的 VPN ,不 同 商业 环境 对 VPN 的 要 求 和 VPN 所 
起 的 作用 是 不 一 样 的 。 下 面 分 三 种 情况 说 明 VPN 的 用 途 。 


1. 企业 内 部 虚拟 专 网 (Intranet VPN) 


在 公司 总 部 和 它 的 分 支 机 构 之 间 建 立 VPN. 称 为 内 部 网 VPN。 内 部 网 是 通过 公共 
网 络 将 某 一 个 用 户 的 各 分 支 机 构 的 LAN 连接 而 成 的 网 络 。 这 种 类 型 的 LAN 到 LAN 
的 连接 带 来 的 风险 最 小 ,因为 用 户 通常 认为 他 们 的 分 支 机 构 是 可 信 的 ,这 种 方式 连接 而 
成 的 网 络 被 称 为 Intranet, 可 把 它 作 为 公司 网 络 的 扩展 。 

当 一 个 数据 传输 通道 的 两 个 端点 被 认为 是 可 信 的 时 候 , 用 户 可 以 选择 * 内 部 VPN” 解 
决 方案 ,安全 性 主要 在 于 加 强 两 个 VPN 服务 器 之 间 加 密 和 认证 的 手段 ,如 图 7-52 所 示 。 
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大 量 的 数据 经 常 需要 通过 VPN 在 局 域 网 之 间 传 递 ,把 中 心 数 据 库 或 其 他 计算 资源 连接 
起 来 的 各 个 局 域 网 可 以 看 成 是 内 部 网 的 一 部 分 。 


一 个 安全 的 VPN 服 务 器 
应 该 给 子 公司 的 不 同 用 加 密 信道 
户 指定 不 同 的 访问 权限 
起 | 人 | 
大 司 总 部 (tiene) 子 公司 
BB | 
VPN 服务 器 VPN 服务 器 
VPN VPN 
< 办 > 
二 认证 = 


7-52 ”内 部 VPN 


这 里 仅 是 用 户 的 分 支 机 构 中 有 一 定 访问 权限 的 用 户 才 能 通过 “内 部 网 VPN” 访 问 用 
户 总 部 的 资源 ,所 有 端点 之 间 的 数据 传输 都 要 经 过 加 密 和 身份 鉴别 。 如 果 一 个 用 户 对 其 
分 支 机 构 或 个 人 有 不 同 的 可 信 程 度 , 那 么 用 户 可 以 考虑 基于 认证 的 VPN 方案 来 保证 信 
息 的 安全 传输 而 不 是 靠 可 信 的 通信 子 网 。 

这 种 类 型 的 VPN 主要 任务 是 保护 用 户 的 Intranet 不 被 外 部 入 侵 ,同时 保证 用 户 的 
重要 数据 流 经 Internet 时 的 安全 性 。 


2. 访问 虚拟 专 网 Caccess VPN) 


在 用 户 内 部 和 远 地 雇 员 或 旅行 之 中 的 雇员 之 间 建 立 VPN, 称 为 访问 VPN。 现 在 ,人 们 
意识 到 通过 Internet 的 远程 拨号 访问 所 带 来 的 好 处 。 用 Internet 作为 远程 访问 的 骨干 网 比 
传统 的 方案 更 容易 实现 ,而 且 花 钱 更 少 。 如 果 一 个 用 户 无 论 是 在 家 里 还 是 在 旅途 之 中 ,他 
想 同 自己 的 内 部 网 建立 一 个 安全 连接 , 则 可 以 用 访问 VPN 来 实现 ,如 图 7-53 所 示 。 典 型 的 
访问 VPN 是 用 户 通过 本 地 的 Internet 服务 提供 商 (ISP) 登 录 到 Internet 上 ,并 在 现在 的 办 公 
室 和 用 户 内 部 网 之 间 建 立 一 条 加 密 信道 。 访问 VPN 的 客户 端 应 尽量 简单 ,因为 普通 雇员 
一 般 都 缺乏 专门 训练 。 客 户 应 可 以 手工 建立 一 条 VPN 信道 , 即 当 客户 每 次 想 建立 一 个 
安全 通信 信道 时 ,只 需 安装 VPN 软件 。 在 服务 器 端 ,因为 要 监视 大 量 用 户 , 有 时 需要 增 
加 或 删除 用 户 ,这 样 可 能 造成 混乱 ,并 带 来 风险 ,因此 服务 器 应 集中 并 且 管 理 要 容易 。 


VPN 的 功能 pt 

1. 访问 控制 管理 2. 用 户 身份 认证 加 密 信道 
3. 数据 加 密 4. 智能 监视 和 审计 记录 

5. 密码 和 数字 证 书 管理 三 


VPN 服务 器 ”防火墙 


7-53 ”访问 VPN 
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7 网 络 安全 系统 


用 户 往 往 指定 一 种 "透明 的 访问 策略 ”, 即 使 在 远 处 的 雇员 也 能 像 他 们 坐 在 用 户 总 部 
的 办 公 室 一 样 自 由 地 访问 用 户 的 资源 。 因 此 首先 要 考虑 的 是 所 有 端 到 端的 数据 都 要 加 
密 , 并 且 只 有 特定 的 接收 者 才能 解密 。 大 多 数 VPN 除了 加 密 以 外 还 要 考虑 加 密 密 码 的 
强度 和 认证 方法 。 这 种 VPN 要 对 个 人 用 户 的 身份 进行 认证 ,而 不 仅 认证 地 址 ,这 样 用 户 
总 部 就 会 知道 哪个 雇员 和 欲 访问 用 户 的 内 部 网 络 , 认 证 后 决定 是 否 允 许 用 户 对 网 络 资源 的 
访问 。 认 证 技术 可 以 包括 用 一 次 密码 .Kerberos 认证 方案 、 令 牌 卡 、 智 能 卡 或 者 指纹 。 一 
旦 一 个 用 户 同 VPN 服务 器 进行 了 认证 ,根据 他 的 访问 权限 表 , 他 就 有 一 定 程度 的 访问 权 
限 。 每 个 人 的 访问 权限 表 由 网 络 管理 员 制 定 ,并 且 符 合 公司 的 安全 策略 。 

有 较 高 安全 度 的 远程 访问 VPN 应 能 截取 到 特定 主机 的 信息 流 , 有 加 密 、 身 份 认证 和 
过 滤 等 功能 。 


3. 扩展 企业 内 部 虚拟 专 网 (extranet VPN) 


在 用 户 与 商业 伙伴 、 顾 客 、 供 应 商 和 投资 者 之 间 建 立 的 VPN, 称 为 扩展 企业 内 部 
VPN。 扩 展 企 业内 部 VPN 为 用 户 合 作 伙伴 .顾客 .供应 商 和 在 异地 的 用 户 雇员 提供 安全 
性 ,如 图 7-54 所 示 。 它 应 能 保证 包括 TCP 和 UDP 服务 在 内 的 各 种 应 用 服务 的 安全 ,如 
E-mail.HTTP、FTP、RealAudio 和 数据 库 以 及 一 些 应 用 程序 ,如 Java 与 ActiveX 的 安 
全 。 因 为 不 同 用 户 的 网 络 环境 是 不 同 的 ,一 个 可 行 的 扩展 企业 内 部 VPN 方案 应 能 适用 
于 各 种 操作 平台 协议 .各 种 不 同 的 认证 方案 和 加 密 算法 。 
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图 7-54 扩展 企业 内 部 VPN 


扩展 企业 内 部 VPN 的 主要 目标 是 保证 数据 在 传输 过 程 中 不 被 修改 ,保护 网 络 资源 
不 受 外 部 威胁 。 安 全 的 扩展 企业 内 部 VPN 要 求 用 户 在 同 它 的 顾客 、 合 作 伙 伴 及 在 外 地 
的 雇员 之 间 经 Internet 建立 端 到 端的 连接 时 ,必须 通过 VPN 服务 器 才能 进行 在 这 种 系 
统 上 ,网 络 管理 员 可 以 为 合作 伙伴 的 职员 指定 特定 的 许可 权 , 例 如 可 以 允许 对 方 的 销售 
经 理 访问 一 个 受到 保护 的 服务 器 上 的 销售 报告 。 

扩展 企业 内 部 VPN 中 应 是 一 个 由 加 密 、 认 证 和 访问 控制 功能 组 成 的 集成 系统 。 通 
常用 户 将 VPN 代理 服务 器 放 在 一 个 不 能 穿 透 的 防火 墙 隔离 层 之 后 ,防火 墙 阻止 所 有 来 
历 不 明 的 信息 传输 。 所 有 经 过 过 滤 后 的 数据 通过 一 个 唯一 的 入 口传 到 VPN 服务 器 ， 
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VPN 服务 器 再 根据 安全 策略 来 进一步 过 滤 。 

VPN 可 以 建立 在 网 络 协议 的 上 层 , 如 应 用 层 ,也 可 建立 在 较 低 的 层次 ,如 网 络 层 。 
在 应 用 层 的 VPN 可 以 用 一 个 代理 服务 器 实现 ,这 就 是 说 ,不 直接 打开 任何 到 公司 内 部 网 
的 连接 ,这 样 有 了 VPN 代理 服务 器 之 后 ,就 可 以 防止 IP 地 址 欺骗 。 所 有 的 访问 都 要 经 
过 代理 ,这 样 管理 员 就 可 以 知道 谁 企图 访问 内 部 网 以 及 他 做 了 多 少 次 这 种 尝试 。 

扩展 企业 内 部 VPN 并 不 假定 连接 的 用 户 双 方 之 间 存 在 双向 信任 关系 。 扩 展 企业 内 
部 VPN 在 Internet 内 打开 一 条 隧道 ,并 保证 经 数据 包 过 滤 后 信息 传输 的 安全 。 当 用 户 
将 很 多 商业 活动 都 通过 公共 网 络 进行 交易 时 ,一 个 扩展 企业 内 部 VPN 应 该 用 高 强度 的 
加 密 算法 密 钥 应 选 在 128bits 以 上 。 此 外 ,应 支持 多 种 认证 方案 和 加 密 算法 ,因为 商业 伙 
伴 和 顾客 可 能 有 不 同 的 网 络 结构 和 操作 平台 。 

扩展 企业 内 部 VPN 应 能 根据 尽 可 能 多 的 参数 来 控制 对 网 络 资源 的 访问 参数 ,包括 
源 地 址 、 目 的 地 址 、 应 用 程序 的 用 途 所 用 的 加 密 和 认证 类 型 .个 人 身份 .工作 组 及 子 网 等 。 
管理 员 应 能 对 个 人 进行 身份 认证 ,而 不 仅仅 根据 IP 地 址 来 进行 身份 认证 。 


744 ”VPN 解决 方案 


1. 解决 方案 1 一 一 由 用 户 端 建立 的 拨号 VPN 


首先 ,远程 客户 拨号 进入 一 个 本 地 接 和 人 点 (POP) ,然后 运行 一 个 支持 IPSec 的 客户 端 
软件 ,与 客户 内 联网 中 的 一 台 PIX 防火 墙 建立 一 条 加 密 的 隧道 ,这 样 就 可 以 安全 地 访问 
防火 增 内 的 主机 了 。 

该 方案 的 优点 是 访问 服务 器 不 参与 VPN ,客户 可 以 同时 访问 互联 网 和 内 联网 。 缺 点 
是 客户 端 软件 必须 是 指定 的 支持 IPSec 的 产品 ;隧道 对 于 ISP 是 完全 透明 的 ,用 户 无 法 得 
到 ISP 的 增值 服务 ;IP 地 址 由 ISP 分 配 ,不 能 采用 内 部 地 址 。 


2. 解决 方案 2 一 一 由 访问 服务 器 建立 的 拨号 IP-VPN 


采用 防火 墙 通过 L2F 或 L2TP 协议 ,由 防火 墙 建 立 一 条 安全 隧道 的 内 联网 网 关 , 该 
网 关 负责 身份 认证 和 IP 地 址 分 配 ,远程 客户 就 像 直 接 联 到 内 联网 一 样 。 

该 方案 的 优点 是 远程 用 户 端 不 需要 特别 的 软件 ;ISP 可 以 提供 高 档次 的 拨号 IP- 
VPN 服务 ;IP 地 址 可 以 采用 的 内 联网 的 内 部 地 址 ,不 占用 ISP 的 地 址 空间 。 缺 点 是 不 适 
合 在 国际 互联 网 上 采用 。 


3. 解决 方案 3 一 IPSec IP 隧道 的 专线 VPN 


任何 一 台 支 持 IPSec 的 设备 之 间 都 可 以 建立 一 条 加 密 隧道 ,支持 IPSec 的 设备 包括 
运行 IPSec 软件 的 客户 机 、 路 由 器 、 防 火 墙 和 服务 器 。 

该 方案 的 优点 是 方便 ,快捷 ,无 须 改 变 ISP 的 网 络 ; 安 全 可 靠 、 性 能 高 ;ISP 可 以 对 隧 
道 提供 高 级 的 IP 服务 。 


7 网 络 安全 系统 。 381 


4. 解决 方案 4 一 一 GRE 隧道 的 专线 VPN 


GRE 隧道 是 基于 RFC 1701 和 RFC 1702 的 标准 VPN 方案 。 它 的 做 法 是 将 IP 数据 
包 加 上 GRE 头 , 封 装 在 IP 数据 包 内 。 在 路 由 器 看 来 GRE 隧道 是 一 个 点 到 点 端口 , 它 可 
以 被 加 密 。ISP 可 以 对 GRE 隧道 提供 QoS 服务 ,但 这 个 隧道 的 两 端 必须 在 同一 个 ISP 
的 网 络 内 。 推 荐 用 户 采 用 此 方式 。 

该 方案 的 优点 是 用 户 自己 定义 内 部 的 IP 地 址 ;ISP 可 以 提供 针对 应 用 层 的 IP QoS 
服务 :与 媒体 无 关 。 缺 点 是 只 能 在 一 个 ISP 网 络 内 。 


5. 解决 方案 5 一 一 基于 MPLS 的 内 嵌 VPN 网 络 


在 整个 网 络 上 运行 MPLS, 每 一 个 VPN 都 有 一 个 VPN-ID, 通 过 TCP 将 不 同 的 
VPN-ID 映射 到 不 同 的 TAG 上 ,这 样 VPN 的 信息 就 内 艇 在 MPLS 网 络 中 。 

该 方案 的 优点 是 TAG-VPN 是 无 连接 的 ,无 须 定义 隧道 ;与 MPLS 一 样 具有 良好 的 
网 络 扩展 性 和 增值 服务 扩展 性 ;在 ISP 网 络 中 可 以 * 看 见 "VPN ,可 以 为 每 个 VPN 提供 增 
值 服务 ;容易 增加 VPN 和 简化 管理 ;IP QoS 和 流量 管理 随 MPLS 与 生 具 有 。 缺 点 是 需 
要 高 端 路 由 器 。 

VPN 解决 方案 模型 如 图 7-55 所 示 。 
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图 7-55 VPN 解决 方案 


75 病毒 防范 系统 


病毒 自从 诞生 以 来 ,一 直 是 计算 机 面临 的 最 大 威胁 之 一 ,而 随 着 网 络 特别 是 互联 网 
的 发 展 ,其 破坏 的 威力 大 大 增加 。 目 前 ,病毒 的 种 类 只 是 一 点 点 地 往 上 增加 ,并 没有 往 下 
减少 ,唯一 变化 是 某 一 种 类 的 病毒 相对 来 说 增长 的 趋势 放 缓 了 ,如 宏 病 毒 现在 变种 非常 
少 了 ,原来 的 DoS 病毒 现在 基本 已 经 没有 了 。 但 是 过 去 有 引导 性 的 病毒 现在 也 不 是 完全 
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消亡 了 ,偶尔 也 会 出 现 一 两 个 ,但 是 往往 是 新 的 种 类 ,如 邮件 型 病毒 、 蠕 虫 或 者 对 应 系统 
漏洞 进行 传播 的 病毒 。 现 在 往往 一 个 病毒 具有 多 种 病毒 的 特点 , 即 通过 邮件 传播 ,又 攻 
击 系统 漏洞 。 包 括 去 年 下 半年 的 熊猫 烧香 ,这 些 病毒 并 不 是 有 什么 创新 ,如 果 说 有 创新 
就 是 把 以 前 的 病毒 传播 方式 都 学 习 过 来 了 ,采取 复合 传播 复合 攻击 方式 。 在 互联 网 的 
环境 下 ,病毒 对 网 络 安全 的 危害 更 加 严重 ,防范 也 更 加 困难 和 复杂 。 病 毒 的 防范 已 经 成 
为 计算 机 网 络 安全 体系 不 可 缺少 的 组 成 部 分 。 


751 病毒 防范 的 技术 措施 


在 完善 的 管理 措施 基础 上 防治 计算 机 病毒 还 应 有 强大 的 技术 支持 。 对 于 重要 的 系 
统 ,常用 的 病毒 防治 技术 措施 有 系统 安全 、 软 件 过 滤 、 文 件 加 密生 产 过 程控 制 . 后 备 恢 


1. 系统 安全 


许多 计算 机 病毒 都 是 通过 系统 漏洞 进行 传播 的 ,如 利用 Windows 操作 系统 漏洞 的 
蠕虫 病毒 、 利 用 Outlook 服务 软件 漏洞 的 邮件 病毒 .利用 Office 漏洞 的 宏 病毒 。 所 以 , 构 
造 一 个 安全 的 系统 是 国内 外 专家 研究 的 热点 。 而 各 种 系统 的 不 断 升 级 也 正 是 为 了 抵御 
病毒 的 侵袭 ,提高 系统 的 防护 能 力 。 有 效 地 杀毒 软件 也 可 以 防御 病毒 的 侵害 ,现在 大 多 
数 杀毒 软件 和 工具 都 具有 实施 监测 系统 内 存 、 定 期 查 杀 系统 磁盘 的 功能 ,并 可 以 在 文件 
打开 前 自动 对 文件 进行 检查 。 除 软件 防 病毒 外 ,采用 防 病毒 卡 和 防 病毒 芯片 也 是 十 分 有 
效 的 方法 。 这 是 一 种 软 、 硬 件 结合 的 防 病毒 方法 。 防 病毒 卡 和 芯片 可 与 系统 结合 成 一 
体 ,系统 启动 后 ,在 加 载 执行 前 获得 控制 权 并 开始 监测 病毒 ,使 病毒 一 进入 内 存 即 被 查 
出 。 同 时 自身 的 检测 程序 固化 在 芯片 中 ,病毒 无 法 改变 其 内 容 , 可 有 效 地 抵制 病毒 对 自 
身 的 攻击 。 


2. 软件 过 滤 


软件 过 滤 的 目的 是 识别 某 一 类 特殊 的 病毒 ,以 防止 它们 进入 系统 和 复制 传播 。 这 种 
方法 已 被 用 来 保护 一 些 大 、 中 型 计算 机 系统 。 如 国外 使 用 的 一 种 T-cell 程序 集 , 对 系统 
中 的 数据 和 程序 用 一 种 难以 复制 的 印章 加 以 保护 ,如 果 印 章 被 改变 ,系统 就 认为 发 生 了 
非法 入 侵 。 又 如 Digital 公司 的 一 些 操作 系统 采用 CA-ex-amine 程序 作为 病毒 检测 工具 ， 
主要 用 来 分 析 关 键 的 系统 程序 和 内 存 常 驻 模 块 ,能 检测 出 多 种 修改 系统 的 病毒 。 它 采用 
专家 系统 对 系统 参数 进行 分 析 ,以 识别 系统 的 不 正常 处 和 未 经 授权 的 改变 。 


3. 文件 加 密 


文件 加 密 是 将 系统 中 可 执行 文件 加 密 , 以 避免 病毒 的 危害 。 可 执行 文件 是 可 被 操作 
系统 和 其 他 软件 识别 和 执行 的 文件 。 若 病毒 不 能 在 可 执行 文件 加 密 前 感染 该 文件 ,或 不 
能 破译 加 密 算法 , 则 混入 病毒 代码 的 文件 不 能 执行 。 即 使 病毒 在 可 执行 文件 加 密 前 感染 
了 该 文件 ,该 文件 解码 后 ,病毒 也 不 能 向 其 他 可 执行 文件 传播 ,从 而 杜绝 了 病毒 复制 。 文 
件 加 密 对 防御 病毒 十 分 有 效 , 但 由 于 系统 开销 较 大 ,目前 只 用 于 特别 重要 的 系统 。 为 减 
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小 开销 ,文件 加 密 也 可 采用 另 一 种 简单 的 方法 ,将 可 执行 程序 作为 明文 ,并 对 其 校 验 和 进 
行 单 向 加 密 ,形成 加 密 签 名 块 ,并 附 在 可 执行 文件 之 后 。 加 密 的 签名 块 在 执行 文件 执行 
之 前 用 公 密 钥 解密 ,并 与 重新 计算 的 校 验 和 相 比 较 , 如 有 病毒 人 侵 ,造成 可 执行 文件 改 
变 , 则 校 验 和 不 符 , 应 停止 执行 并 进行 校 验 。 


4. 备份 恢复 


数据 备份 是 保证 数据 安全 的 重要 措施 ,可 以 通过 与 备份 文件 的 比较 来 判断 是 否 有 病 
毒 人 侵 。 当 系统 文件 被 病毒 侵害 ,可 用 备份 文件 恢复 原 有 系统 。 数 据 备份 可 采用 自动 方 
式 , 也 可 以 采用 手动 方式 ;可 定期 备份 ,也 可 以 按 需 备份 。 数 据 备 份 不 仅 可 以 用 于 被 病毒 
侵害 的 数据 恢复 ,而 且 可 在 其 他 原因 破坏 了 数据 完整 性 以 后 进行 系统 恢复 。 


752 病毒 防范 的 管理 措施 


除了 网 络 和 移动 存储 设备 外 ,大 量 的 盗版 软件 和 盗版 光盘 成 为 病毒 在 我 国 广泛 流行 
的 主要 载体 。 计 算 机 软件 市 场 的 混乱 ,软件 游戏 的 非法 复制 是 病毒 泛滥 的 根源 之 一 。 
同时 ,加 强 计算 机 安全 的 教育 宣传 计算 机 病毒 的 危害 ,普及 预防 计算 机 病毒 的 基本 知识 ， 
提高 计算 机 管理 人 员 的 防范 意识 ,制定 合理 的 管理 制度 ,使 病毒 能 够 被 早 发 现 、 早 清除 是 
防治 计算 机 病毒 的 重要 手段 。 下 面 列 出 一 些 简单 有 效 的 病毒 预防 措施 。 

(1) 备 好 启动 盘 并 设置 写 保护 。 在 对 计算 机 进行 检查 修复 和 手工 杀毒 时 ,通常 要 使 
用 无 毒 的 启动 盘 ,使 设备 在 较为 干净 的 环境 下 操作 。 

(2) 尽量 不 用 软盘 、U 盘 、 移 动 硬盘 或 其 他 移动 存储 设备 启动 计算 机 而 用 本 地 硬盘 
启动 。 
(3) 定期 对 重要 的 资料 和 系统 文件 进行 备份 。 可 以 通过 比照 文件 大 小 、 检 查 文件 个 
数 ,核对 文件 名 字 来 及 时 发 现 病毒 。 

(4) 重要 的 系统 文件 和 磁盘 可 以 通过 赋予 只 读 功能 避免 病毒 的 寄生 和 入 侵 , 也 可 以 
通过 转移 文件 位 置 ,修改 相应 的 系统 配置 来 保护 重要 的 系统 文件 。 

(5) 重要 部 门 的 计算 机 ,尽量 专机 专用 与 外 界 隔绝 。 

(6) 尽量 避免 在 无 防毒 措施 的 机 器 上 使 用 软盘 、U 盘 、 移 动 硬盘 、 可 擦 写 光 盘 等 可 移 
动 的 存储 设备 。 

(7) 使 用 新 软件 时 先 用 杀毒 程序 检查 .减少 中 毒 机 会 。 

(8) 安装 杀毒 软件 .防火墙 等 防 病毒 工具 ,并 准备 一 套 具 有 查 毒 ,防毒 .解毒 及 修复 系 
统 的 工具 软件 ,并 定期 对 软件 进行 升级 、 对 系统 进行 查 毒 。 

(9) 经 常 升级 安全 补丁 。80% 的 网 络 病毒 是 通过 系统 安全 漏洞 进行 传播 的 ,如 红色 
代码 、 尼 姆 达 等 病毒 ,所 以 应 定期 到 相关 网 站 去 下 载 最 新 的 安全 补丁 。 

(10) 使 用 复杂 的 密码 。 有 许多 网 络 病毒 是 通过 猜测 简单 密码 的 方式 攻击 系统 的 , 因 
此 使 用 复杂 的 密码 可 大 大 提高 计算 机 的 安全 系数 。 

(11) 不 要 在 Internet 上 随意 下 载 软件 。 免 费 软件 是 病毒 传播 的 重要 途径 ,如 果 特 别 
需要 ,必须 在 下 载 软件 后 进行 杀毒 。 

(12) 不 要 轻易 打开 电子 邮件 的 附件 。 邮 件 病毒 是 当前 病毒 的 主流 之 一 ,通过 邮件 传 
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播 病毒 具有 传播 速度 快 、 范 围 广 、 危 害 大 的 特点 。 较 妥当 的 做 法 是 先 将 附件 保存 下 来 , 待 
杀毒 软件 检查 后 再 打开 。 

(13) 不 要 随意 借 人 和 借 出 移动 存储 设备 。 在 使 用 借 人 或 返还 的 这 些 设备 时 ,一 定 要 
通过 杀毒 软件 的 检查 ,避免 感染 病毒 。 对 返还 的 设备 车 有 干净 备份 ,应 重新 格式 化 后 青 
使 用 。 

了 解 一 些 病毒 知识 ,这 样 就 可 以 及 时 发 现 新 病毒 并 采取 相应 措施 ,在 关键 时 刻 使 自 
己 的 计算 机 免 受 病毒 破坏 。 如 定期 检查 注册 表 中 的 下 列 键 值 。 

(1) HKLM\SOFJWARE\Microsoft\Windows\CurrentVersion\Run 

(2) HKLM\SOFTWARE\ Microsoft\Windows\CurrentVersion\Runservices 

一 旦 发 现 病毒 ,迅速 隔离 受 感染 的 计算 机 ,避免 病毒 继续 扩散 ,并 使 用 可 靠 的 查 杀 工 
具 进 行 查 杀 。 必 要 时 需 向 国家 计算 机 病毒 应 急 中 心 和 当地 公共 信息 网 络 安全 监察 部 门 
报告 ,请 专家 协助 处 理 。 

若 硬盘 资料 已 遭 破 坏 ,应 利用 灾后 重建 的 解毒 程序 和 恢复 工具 加 以 分 析 重 建 受 损 状 
态 , 而 不 要 急于 格式 化 。 

对 于 计算 机 病毒 的 防治 ,不 仅 是 设备 维护 的 问题 ,而 且 是 一 个 合理 管理 的 问题 。 不 
仅 要 有 完善 的 规章 制度 ,而 且 要 有 健全 的 管理 体制 。 所 以 ,只 有 提高 认识 ,加强 管理 做 到 
措施 到 位 ,才能 防 患 未 然 , 减 少 病毒 人 侵 后 所 造成 的 损失 。 


753 病毒 防范 体系 


防范 网 络 病毒 的 过 程 实际 上 就 是 技术 对 抗 的 过 程 , 反 病 毒 技术 也 得 适应 病毒 繁衍 和 
传播 方式 的 发 展 而 不 断 调整 。 网 络 防 病毒 应 该 利用 网 络 的 优势 ,使 网 络 防 病毒 逐渐 成 为 
网 络 安全 体系 的 一 部 分 。 从 防 病毒 . 防 黑客 和 灾难 恢复 等 几 个 方面 综合 考虑 ,形成 一 整 
套 安全 机 人 制 , 才 可 以 最 有 效 地 保障 整个 网 络 的 安全 。 今 天 的 网 络 防 病毒 解决 方案 主要 从 
以 下 几 个 方面 着 手 进行 病毒 防治 。 


1. 以 网 为 本 . 防 重 于 治 


防治 病毒 应 该 从 网 络 整 体 考虑 ,从 方便 管理 人 员 的 工作 着 手 , 透 过 网 络 管理 PC。 例 
如 ,利用 网 络 唤醒 功能 ,在 夜间 对 全 网 的 PC 进行 扫描 ,检查 病毒 情况 。 利 用 在 线 报警 功 
能 , 当 网 络 上 哪 台 机 器 出 现 故障 、 被 病毒 侵入 时 ,网 络 管理 人 员 都 会 知道 ,从 而 在 管理 中 
心 就 加 以 解决 。 


2. 与 网 络 管理 集成 


网 络 防 病毒 最 大 的 优势 在 于 网 络 的 管理 功能 ,如 果 没 有 把 网 络 管理 加 上 ,很 难 完 成 
网 络 防毒 的 任务 。 管 理 与 防范 相 结合 ,才能 保证 系统 的 良好 和 运行。 管理 功能 就 是 管理 全 
部 的 网 络 设 备 , 从 Hub 交换 机 、 服 务 器 到 PC、 软 盘 的 存 取 和 局 域 网 上 的 信息 互通 及 与 
Internet 的 接 入 等 。 


#0: 网 络 安全 系统 
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3. 安全 体系 的 一 部 分 


计算 机 网 络 的 安全 威胁 主要 来 自 计 算 机 病毒 、 黑 客 攻击 和 拒绝 服务 攻击 等 三 个 方 
面 ,因而 计算 机 的 安全 体系 也 应 从 这 几 个 方面 综合 考虑 ,形成 一 整套 的 安全 机 制 。 防 病 
毒 软件 .防火 墙 产 品 、 可 调整 参数 能 够 相互 通信 形成 一 整套 的 解决 方案 , 才 是 最 有 效 的 网 
络 安全 手段 。 


4. 多 层 防 御 


多 层 防御 体系 将 病毒 检测 、 多 层 数据 保护 和 集中 式 管理 功能 集成 起 来 ,提供 了 全 面 
的 病毒 防护 功能 ,从 而 保证 了 “治疗 "病毒 的 效果 。 病 毒 检测 只 是 病毒 防护 的 支柱 ,多 层 
次 防御 软件 使 用 了 三 层 保护 功能 实时 扫描 、 完 整 性 保护 ,完整 性 检验 。 

后 台 实 时 扫描 驱动 器 能 对 未 知 的 病毒 ,包括 异形 病毒 和 秘密 病毒 ,进行 连续 的 检测 。 
它 能 对 E-mail 附加 部 分 、 下 载 的 Internet 文件 (包括 压缩 文件 ) .软盘 及 正在 打开 的 文件 
进行 实时 的 扫描 检验 。 扫 描 驱 动 器 能 阻止 已 被 感染 过 的 文件 复制 到 服务 器 或 工作 站 上 。 

完整 性 保护 可 阻止 病毒 从 一 个 受 感 染 的 工作 站 扩散 到 服务 器 。 完 整 性 保护 不 只 是 
病毒 检测 ,实际 上 它 能 制止 病毒 以 可 执行 文件 的 方式 感染 和 传播 。 还 可 以 防止 与 未 知 病 
毒 感染 有 关 的 文件 崩溃 和 根除 。 完 整 性 检验 使 系统 无 须 元 余 的 扫描 并 且 能 提高 实时 检 
验 的 性 能 。 

集中 式 管理 是 网 络 病毒 防护 最 可 靠 、 最 经 济 的 方法 。 多 层次 防御 病毒 软件 把 病毒 检 
测 ,多 层 数 据 保护 和 集中 式 管理 的 功能 集成 在 同一 产品 内 ,因而 极 大 地 减轻 了 反 病 毒 管 
理 的 负担 ,而 且 提 供 了 全 面 的 病毒 防护 功能 。 


5. 在 网 关 、 服 务 器 上 防御 


大 量 的 病毒 针对 网 上 应 用 程序 进行 攻击 .这样 的 病毒 存在 于 信息 共享 的 网 络 介质 
上 ,因而 要 在 网 关上 设防 、 网 络 前 端 实时 杀毒 。 防 范 手段 应 集中 在 网 络 整体 上 ,在 个 人 计 
算 机 的 硬件 和 软件 .LAN 服务 器 .服务 器 上 的 网 关 Internet 及 Intranet 的 Web site 上 层 
层 设防 ,对 每 种 病毒 都 实行 隔离 .过 滤 。 


754 局 域 网 病毒 防范 


从 本 质 上 来 看 ,局 域 网 同样 是 由 一 个 个 网 络 节点 所 组 成 的 ,节点 可 以 具体 为 网 络 服 
务 器 和 客户 机 。 计 算 机 病毒 可 以 通过 各 种 途径 进入 网 络 中 的 一 个 节点 (包括 服务 器 ), 然 
后 再 通过 局 域 网 进行 传播 。 

1. 病毒 在 局 域 网 的 传播 形式 

病毒 在 局 域 网 的 传播 方式 归纳 为 以 下 几 种 。 

(1) 局 域 网 资源 共享 。 中 小 型 企业 组 建 的 局 域 网 多 数 用 于 共享 资源 ,而 正 是 由 于 共 
享 资源 的 “数据 开放 性 ”, 造 就 了 病毒 感染 的 有 效 渠 道 。 

(2) 服务 器 数据 传播 病毒 。 网 络 中 的 客户 机 可 以 通过 服务 器 和 外 界 联系 ,而 客户 机 
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之 间 的 内 部 邮件 传递 也 可 以 通过 服务 器 完成 。 一 旦 服务 器 感染 病毒 ,所 有 需要 经 过 服务 
器 的 数据 也 会 被 感染 ,进而 造成 整个 网 络 感染 病毒 的 情况 。 

(3) 客户 机 之 间 的 数据 传递 携带 病毒 。 客 户 机 除了 和 服务 器 通信 之 外 ,相互 之 间 也 
需要 进行 数据 传递 。 如 果 其 中 一 台 计算 机 感染 病毒 ,在 与 另 一 台 客 户 机 传递 数据 时 , 势 
必 会 将 病毒 带 给 对 方 。 

(4) 客户 机 带动 服务 器 染 毒 ,进而 感染 网 络 中 的 其 他 客户 机 。 这 种 形式 可 以 说 是 上 
述 三 种 的 综合 。 网 络 中 的 某 一 台 客 户 机 染 毒 ,通过 第 一 种 和 第 三 种 形式 感染 服务 器 , 服 
务 器 再 由 第 二 种 形式 感染 其 他 客户 机 。 

如 果 企 业 使 用 的 是 无 盘 工 作 站 形式 ,那么 病毒 的 传播 将 更 为 简单 。 因 为 其 "无 盘 ? 并 
非 真 的 “无 盘 ”( 它 的 盘 是 网 络 盘 ) 。 当 运行 网 络 盘 上 的 一 个 带 毒 程序 时 , 便 将 内 存 中 的 病 
毒 传染 给 该 程序 或 通过 映像 路 径 传染 到 服务 器 的 其 他 的 文件 上 ,因此 整个 "无 盘 ? 网 络 就 
彻底 地 被 病毒 感染 了 。 


2. 局 域 网 的 病毒 防治 


局 域 网 的 病毒 防治 应 从 两 个 方面 和 人手。 

1) 管理 上 的 策略 

(1) 加 强 网 络 管理 员 安全 管理 水 平 ,提高 安全 意识 。 由 于 有 的 病毒 利用 系统 漏洞 进 
行 攻击 ,所 以 需要 在 第 一 时 间 内 保持 系统 和 应 用 软件 的 安全 性 ,保持 各 种 操作 系统 和 应 
用 软件 的 更 新 。 由 于 各 种 漏洞 的 不 断 出 现 ,安全 不 再 是 一 劳 永 逸 的 事 , 所 需要 的 管理 水 
平和 安全 意识 也 待 提高 。 

(2) 加 强 对 局 域 网 用 户 的 安全 培训 ,普及 防毒 知识 。 杜 绝 病毒 主观 能 动 性 起 到 了 很 
重要 的 作用 。 病 毒 的 草 延 经 常 是 由 于 企业 内 部 员工 对 病毒 的 传播 方式 不 够 了 解 。 查 杀 
病毒 首先 要 知道 病毒 到 底 是 什么 , 它 的 危害 程度 如 何 。 知 道 了 病毒 危害 性 ,提高 了 安全 
意识 ,杜绝 病毒 的 战役 就 已 经 成 功 了 一 半 。 平 时 ,企业 要 从 加 强 安 全 意识 着 手 , 对 日 常 工 
作 中 隐藏 的 病毒 危害 提高 警觉 性 ,如 对 来 历 不 明 的 文件 运行 前 进行 查 杀 、 经 常 升级 病毒 
库 ,不 随意 查看 陌生 的 邮件 ,减少 共享 文件 夹 的 数量 ,文件 共享 时 尽量 控制 权限 并 设置 密 
码 等 ,都 可 以 很 好 地 防止 病毒 在 网 络 中 的 传播 。 

(3) 建立 局 域 网 内 部 的 升级 系统 ,包括 各 种 操作 系统 的 补丁 升级 ,各 种 常用 的 应 用 软 
件 升级 ,各 种 杀毒 软件 病毒 库 的 升级 等 。 

(4) 加 强 防 病毒 管理 。 使 用 网 络 扫描 软件 ,经 常 对 整个 网 络 系统 做 全 面 的 扫描 ,查找 
出 网 络 中 究 竞 有 哪些 服务 器 和 客户 机 没有 安装 相应 的 防 病毒 软件 。 采 取 强 制 性 的 措施 
为 该 客户 机 安装 相应 的 防 病毒 软件 ,以 确保 网 络 内 部 没有 防 病 毒 漏洞 。 对 已 经 被 病毒 感 
染 的 计算 机 在 清除 之 前 与 整个 网 络 隔离 ,杜绝 网 络 内 计算 机 带 病 毒 运 行 。 

(5) 建立 灾难 备份 系统 。 对 于 数据 库 和 数据 系统 ,必须 采用 定期 备份 .多 机 备份 措 
施 , 防 止 意外 灾难 下 的 数据 丢失 。 

2) 技术 上 的 策略 

应 利用 全 方位 的 企业 防毒 产品 ,实施 * 层 层 设防 .集中 控制 .以 防 为 主 、 防 杀 结 合 ” 
策略 。 具 体 而 言 ,就 是 针对 网 络 中 所 有 可 能 的 病毒 攻击 ,设置 对 应 的 防毒 软件 。 通 过 全 


7 网 络 安全 系统 。 387 


方位 、 多 层次 的 防毒 系统 配置 ,使 网 络 没 有 薄弱 环节 成 为 病毒 人 侵 的 缺口 。 具 体 配 置 如 
图 7-56 所 示 。 


网 络 病毒 软件 
服务 器 端 
其 他 局 域 网 
防 病毒 
服务 器 
服务 器 (VLAN) 
代理 服务 器 工作 站 工作 站 
(VLAN) (VLAN) 


| 


网 关 防 毒 软件 。 网 络 病毒 软件 。 网 络 病毒 软件 
网 络 病毒 软件 客户 端 客户 端 
服务 器 端 


图 7-56 局域网 防范 病毒 配置 


(1) 防护 桌面 系统 

客户 端的 防护 位 于 局 域 网 防毒 体系 的 最 底层 ,对 用 户 而 言 , 也 是 最 显而易见 的 一 道 
防 杀 病毒 的 防线 。 

@ 启用 BIOS 引导 扇 区 保护 。 通 过 系统 的 BIOS 设置 打开 引导 扇 区 保护 功能 ,可 以 
保证 所 有 系统 的 引导 扇 区 处 于 安全 状态 。 系 统管 理 员 应 对 局 域 网 用 户 进行 教育 ,使 他 们 
明白 引导 扇 区 警告 的 含义 ,以 及 如 何 进行 相应 的 处 理 。 

@ 安装 网 络 版 杀毒 软件 客户 端 。 通 过 服务 器 设置 统一 的 防毒 策略 ,定期 对 本 地 驱动 
器 进行 彻底 的 病毒 扫描 ,定期 自动 更 新 病毒 库 ,获取 完 整 的 病毒 活动 日 志 , 防 止 病毒 从 客 
户 机 进入 系统 ,实现 客户 端的 实时 病毒 防护 ,保护 客户 机 自身 不 会 被 病毒 感染 ,并 且 不 会 
成 为 病毒 源 。 

(2) 防护 服务 器 

服务 器 会 遭受 大 量 引导 型 病毒 ,文件 型 病毒 .混合 型 病毒 .蠕虫 以 及 宏 病 毒 等 的 攻 
击 。 更 为 常见 的 是 ,由 于 服务 器 为 网 络 中 所 有 工作 站 提供 共享 的 资源 ,因而 也 成 为 病毒 
理想 的 集散 地 ,可 以 轻易 将 病毒 扩散 到 网 络 中 的 所 有 工作 站 或 服务 器 上 。 

Qa 设置 防 病毒 服务 器 ,安装 网 络 版 杀毒 软件 。 在 网 络 内 部 设置 一 台 防 病毒 主 控 服 务 
器 ,负责 病毒 特征 码 的 分 发 和 整个 网 络 防 病毒 软件 的 管理 。 每 天 晚上 应 对 每 台 服务 器 的 
所 有 文件 都 使 用 病毒 扫描 程序 进行 彻底 的 扫描 。 多 数 网 络 版 杀毒 软件 都 带 有 日 程 安排 
功能 ,可 以 自动 进行 扫描 。 开 启 实 时 病毒 监控 功能 、 病 毒 码 自动 更 新 功能 以 及 病毒 活动 
日 志 、 多 种 报警 通知 方式 等 。 

@ 设置 文件 权限 。 设 置 用 户 级 的 文件 权限 可 以 保证 服务 器 的 可 执行 文件 不 被 感染 。 
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(3) Internet 网 关 的 防护 

Internet 网 关 的 病毒 防护 是 局 域 网 防 病毒 体系 结构 中 的 重要 组 成 部 分 , 它 可 以 为 局 
域 网 提供 更 完整 的 保护 。 其 基本 设计 理念 是 在 计算 机 病毒 通过 Internet 来 人 侵 企业 内 
部 网 络 的 第 一 点 处 设置 一 道 防毒 墙 .使 得 计算 机 病毒 在 进入 企业 网 络 之 前 即 被 阻截 。 保 
证 网 络 用 户 在 使 用 浏览 器 .FTP 下 载 和 收发 邮件 时 免 遭 各 种 病毒 ,特别 是 Java Applet、 
ActiveX 和 未 标记 的 Web 对 象 等 新 一 代 病 毒 的 侵害 。 推 荐 使 用 代理 服务 器 ,并 在 该 服务 
器 中 安装 网 关 防 病毒 软件 , 既 可 以 对 外 部 人 侵 病毒 进行 监测 和 拦截 ,又 可 以 为 服务 器 多 
加 一 层 保护 。 

(4) 防毒 中 央 控 管 系统 

较 好 的 网 络 版 杀毒 软件 都 支持 网 络 集中 管理 ,这 样 在 域 中 的 某 台 机 器 上 就 可 以 管理 
整个 网 络 , 进 行 全域 的 监控 、 查 毒 、 防 毒 .杀毒 等 各 种 工作 。 另 外 ,还 可 以 通过 点 到 点 的 方 
法 来 管理 远程 的 不 同 网 段 上 的 计算 机 ,这 避免 了 系统 管理 人 员 分 别 去 处 理 每 一 台 机 器 ， 
极 大 地 减轻 管理 员 的 工作 量 , 减 少 了 大 量 的 重复 操作 ,方便 了 管理 。 

用 一 台 服 务 器 (可 以 不 是 主 域 服务 器 ) 作 为 防 病毒 服务 器 对 整个 域 进行 防 病毒 管理 ， 
制定 统一 的 防毒 策略 , 设 定 域 扫描 作业 ,安排 系统 自动 查 、 杀 病毒 。 定 时 自动 下 载 最 新 病 
毒 特征 文件 和 搜索 引擎 ,然后 自动 分 发 到 域 中 其 他 服务 器 和 联网 客户 机 上 ,保证 防毒 软 
件 定期 得 到 最 新 的 反 病 毒 文 件 。 

(5) 划分 虚拟 局 域 网 (VLAN) 

经 济 条 件 许可 时 ,局 域 网 内 应 尽量 使 用 支持 虚拟 局 域 网 (VLAN) 的 交换 设备 ,最 好 
是 三 层 的 (支持 路 由 功能 ) ,将 各 小 部 门 划分 成 子 网 。 设 置 独 立 的 服务 器 ,杜绝 网 络 内 部 
大 范围 的 共享 文件 夹 和 硬件 资源 ,这 在 保护 数据 安全 和 防毒 上 均 可 起 到 相当 的 作用 。 


755 手工 清除 病毒 措施 


现在 上 网 的 用 户 越 来 越 多 了 ,其 中 有 一 点 不 可 避免 的 就 是 如 何 防范 和 查 杀 病毒 和 恶 
意 攻 击 程序 。 但 是 ,如 果 不 小 心中 了 病毒 而 身边 又 没有 杀毒 软件 怎么 办 ? 没有 关系 ,下 
面 所 述 的 方法 可 以 轻松 地 手工 清除 藏 在 计算 机 里 的 病毒 和 木马 。 


1. 检查 注册 表 


注册 表 一 直 都 是 很 多 木马 和 病毒 “青睐 ”的 寄生 场所 ,注意 在 检查 注册 表 之 前 要 先 给 
注册 表 备 份 。 

(1) 检查 注册 表 中 HKEY_LOCAL _MACHINE\Software\Microsoft\ Windows\ 
CurrentVersion\Run 和 HKEY_LOCAL MACHINE\Software\ Microsoft\ Windows\ 
CurrentVersion\Runserveice, 查 看 键 值 中 有 没有 不 熟悉 的 自动 启动 文件 ,扩展 名 一 般 为 
EXE, 然 后 记 住 程序 的 文件 名 ,在 整个 注册 表 中 搜索 ,凡是 看 到 了 一 样 的 文件 名 的 键 值 就 
要 删除 ,接着 到 计算 机 中 找到 木马 文件 的 藏身 地 将 其 彻底 删除 。 例 如 “ 爱 虫 " 病 毒 会 修改 
上 面 所 提 的 第 一 项 ,BO2000 木马 会 修改 上 面 所 提 的 第 二 项 。 

(2) 检查 注册 表 HKEY_LOCAL_MACHINE 和 HKEY_CURRENT_USERA\ 
SOFTWARE\Microsoft\Internet Explorer\Main 中 的 几 项 (如 Local Page) ,如 果 发 现 键 
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值 被 修改 了 ,只 要 根据 判断 改 回去 就 行 了 。 恶 意 代码 (如 “万 花 谷 ”) 就 经 常 修改 这 几 项 。 

(3) 检查 HKEY _CLASSES_ROOT\inifile\ shell\open\command 和 HKEY _ 
CLASSES_ROOT\txtfile\shell\open\command 等 几 个 常用 文件 类 型 的 默认 打开 程序 是 
否 被 更 改 。 这 个 一 定 要 改 回来 ,很 多 病毒 就 是 通过 修改 . txt、. ini 等 的 默认 打开 程序 而 清 
除 不 了 的 。 例 如 “罗密欧 与 朱丽叶 ”病毒 就 修改 了 很 多 文件 (包括 . jpg、. rar、. mp3 等 ) 的 
默认 打开 程序 。 


2. 检查 系统 配置 文件 


其 实 检查 系统 配置 文件 最 好 的 方法 是 打开 Windows 系统 配置 实用 程序 (从 “开始 ” 
菜单 运行 msconfig. exe) ,在 里 面 可 以 配置 Config. sys、Autoexec. bat system. ini 和 win. 
ini, 并 且 可 以 选择 启动 系统 的 时 间 。 

(1) 检查 win. ini 文件 (在 C:\Windows\ 下 ), 打 开 后 在 [LWINDOWS] 的 下 面 ,*run 
三 ”和 “load 二 ”是 可 能 加 载 “木马 ”程序 的 途径 ,必须 仔细 留心 它们 。 在 一 般 情况 下 ,在 它 
们 的 等 号 后 面 什么 都 没有 ,如 果 发 现 后 面 跟 有 路 径 与 文件 名 不 是 熟悉 的 启动 文件 ,计算 
机 就 可 能 中 上 “木马 "了 。 例 如 攻击 QQ 的 “GOP 木马 ?就 会 在 这 里 留 下 痕迹 。 

(2) 检查 system. ini 文件 (在 C:\Windows\ 下 ), 在 BOOT 下 面 有 个 “shell 三 文件 
名 ”。 正 确 的 文件 名 应 该 是 explorer. exe, 如 果 不 是 explorer. exe, 而 是 “shell== explorer. 
exe 程序 名 ”, 那 么 后 面 跟着 的 那个 程序 就 是 “木马 ?程序 ,然后 就 要 在 硬盘 找到 这 个 程序 
并 将 其 删除 了 。 这 类 的 病毒 很 多 ,例如 “ 尼 姆 达 ” 病 毒 就 会 把 该 项 修改 为 shell= explorer. 
exe load. exe-dontrunold 。 

网 络 由 于 自身 在 很 多 方面 存在 天 生 的 缺陷 ,造成 网 络 安全 是 非常 脆弱 的 ,而 且 这 种 
脆弱 是 全 方位 的 。 针 对 网 络 安全 所 受到 的 主要 威胁 ,目前 构建 网 络 安 全 体系 涉及 防火 
墙 \ 入 侵 检测 与 防御 系统 、 身 份 认证 系统 、 虚 拟 专 网 以 及 病毒 防范 系统 等 很 多 方面 。 在 采 
用 相关 系统 时 ,应 注意 在 工作 原理 ,技术 分 类 、 如 何 部 署 以 及 采购 相关 产品 时 给 予 更 多 
关注 。 


习 题 7 


(1) 常见 的 认证 技术 有 哪些 ? 各 有 什么 特点 ? 

(2) 简 述 802. 1x 认证 技术 的 实现 。 

(3) 目前 计算 机 病毒 有 哪些 特点 ? 如何 建 立 比 较 完善 的 防 病毒 体系 ? 
(4) 防火 墙 在 网 络 中 具有 哪些 作用 和 缺陷 ? 

(5) 如 何 部 署 防火 墙 ? 

(6) 简 述 虚拟 专 网 的 分 类 和 用 途 。 

(7) 什么 是 入 侵 检测 系统 ? 有 哪 几 类 技术 ? 

(8) 典型 的 入 侵 检测 方法 有 哪 几 类 ? 


网 络 安全 系统 解决 方案 


网 络 安全 是 一 项 系统 工程 , 它 既 涉及 对 外 部 攻击 的 有 效 防范 ,又 包括 制定 完善 的 内 
部 安全 保障 制度 来 防范 内 部 的 网 络 攻 击 ; 既 涉及 防 病毒 攻击 ,又 涵盖 网 络 攻击 检测 、 防 黑 
客 攻击 等 内 容 。 因 此 ,网络 安全 解决 方案 不 应 仅仅 提供 对 某 种 安全 隐患 的 防范 能 力 ,而 
是 应 涵盖 对 于 各 种 可 能 造成 网 络 安全 的 各 个 方面 的 隐患 提供 整体 的 防范 能 力 。 网 络 安 
全 不 仅 涉及 网 络 系统 的 多 个 层次 和 多 个 方面 ,而 且 还 是 一 个 动态 变化 的 过 程 , 因 此 它 还 
应 该 是 一 种 动态 解决 和 动态 适应 的 方案 ,能 够 随 着 网 络 安全 需求 的 变化 而 不 断 改进 
完善 。 

网 络 安全 涉及 到 许多 方面 ,最 明显 .最 重要 的 就 是 对 外 界 人 侵 、 攻 击 的 检测 与 防护 。 
现在 的 网 络 几乎 时 刻 受 到 外 界 的 安全 威胁 , 稍 有 不 慎 就 会 被 那些 病毒 .黑客 人 侵 , 致 使 整 
个 网 络 陷入 瘫 痰 。 在 一 个 安全 措施 完善 的 计算 机 网 络 中 ,不 仅 要 部 署 病毒 防护 系统 、 防 
火 墙 隔离 系统 ,还 可 能 要 部 署 和 人 侵 检测 .木马 查 杀 系统 和 物理 隔离 系统 等 。 当 然 所 选用 
系统 的 具体 等 级 要 根据 相应 网 络 规模 大 小 和 安全 需求 而 定 ,并 不 一 定 要 求 每 个 网 络 系统 
都 全 面部 署 这 些 防 护 系统 。 

除了 病毒 .黑客 人 侵 外 ,网 络 系统 的 安全 性 需求 还 体现 在 用 户 对 数据 的 访问 权限 上 ， 
一 定 要 根据 对 应 的 工作 需求 为 不 同 用 户 、 不 同 数据 配置 相应 的 访问 权限 ,对 安全 级 别 需 
求 较 高 的 数据 则 要 采取 相应 的 加 密 措 施 。 同 时 ,用 户 账户 ,特别 是 高 权限 账户 的 安全 也 
应 受到 高 度 重 视 , 要 采取 相应 的 账户 防护 策略 (如 密码 复杂 性 策略 和 账户 锁定 策略 等 )， 
保护 好 用 户 账户 ,以 防 被 非法 用 户 盗 取 。 
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计算 机 网 络 安全 的 实质 是 安全 立法 、 安 全 管理 和 安全 技术 的 综合 实施 。 这 三 个 层次 
体现 了 安全 策略 的 限制 监视 和 保障 职能 。 所 以 ,网 络 安全 是 一 项 涉及 众多 方面 的 系统 
工程 , 既 需 要 被 动 防御 ,又 需要 主动 防御 ; 既 需 要 采取 必要 的 安全 技术 来 抵御 各 种 攻击 ， 
又 需要 规范 和 建立 必要 的 安全 管理 模式 、 规 章 制度 等 来 规范 人 们 的 行为 。 在 这 里 主要 从 
技术 角度 讨论 如 何 具体 应 用 前 面 已 经 论述 的 网 络 安 全 策略 。 
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811 网 络 安全 系统 的 构架 


ITU-T X. 800 标准 将 常 说 的 网 络 安全 (networksecurity) 进 行 逻 辑 上 的 分 别 定义 , 即 
安全 攻击 (security attack) 是 指 损害 机 构 所 拥有 信息 的 安全 的 任何 行为 ;安全 机 制 
(security mechanism) 是 指 设计 用 于 检测 .预防 安 全 攻击 或 者 恢复 系统 的 机 制 ;安全 服务 


(security service) 是 指 采用 一 种 或 多 种 安全 机 制 以 抵御 安全 攻击 、 提 高 机 构 的 数据 处 理 
系统 安全 和 信息 传输 安全 的 服务 。 三 者 之 间 的 关系 如 表 8-1 所 示 。 
表 8-1 安全 攻击 安全 机 制 , 安 全 服务 之 间 的 关系 
释 安全 安全 数 
放 | 流 更 | 拒 | 攻击 机 制 数 | 访 | 据 | 认 | 流 | 路 
消 | 量 | 伪 | 重 | 改 | 绝 加 | 字 | 问 | 之 | 证 | 量 | 由 | 公 
息 | 分 | 装 | 放 | 消 | 服 密 | 签 | 控 束 交 | 填 | 控 | 证 
内 | 析 息 | 务 名 | 制 | 性 | 换 | 充 | 制 
容 安全 服务 
Vv 对 等 实体 认证 V | V V 
NA 数据 源 认 证 NA 
Nh 访问 控制 NA 
Vv 机 密 性 Vv ~V 
Vv 流量 机 密 性 Vv | 
VI 数据 完整 性 V | V ~ 
非 否 认 性 Vv V/ NA 
NA 可 用 性 V | V 


1. 网 络 安全 防范 体系 框架 结构 


为 了 能 够 有 效 了 解 用 户 的 安全 需求 ,选择 各 种 安全 产品 和 策略 ,有 必要 建立 一 些 系 
统 的 方法 来 进行 网 络 安全 防范 。 网 络 安全 防范 体系 的 科学 性 ` 可 行 性 是 其 可 顺利 实施 的 
保障 。 图 8-1 给 出 了 基于 DISSP( 美 国 国防 信息 系统 安全 计划 ) 扩 展 的 一 个 三 维 安全 防范 
技术 体系 框架 结构 。 第 一 维 是 安全 服务 ,给 出 了 八 种 安全 属性 (ITU-T REC-X. 800- 
199103-1) 。 第 二 维 是 系统 单元 ,给 出 了 信息 网 络 系统 的 组 成 。 第 三 维 是 结构 层次 ,给 出 
并 扩展 了 国际 标准 化 组 织 ISO 的 开放 系统 互联 (OSI 模型 ) 。 

框架 结构 中 的 每 一 个 系统 单元 都 对 应 于 某 一 个 协议 层次 ,需要 采取 若干 种 安全 服 
务 才能 保证 该 系统 单元 的 安全 。 网 络 平台 需要 有 网 络 节 点 之 间 的 认证 ,访问 控制 ,应 
用 平台 需要 有 针对 用 户 的 认证 .访问 控制 ,需要 保证 数据 传输 的 完整 性 和 保密 性 ,需要 
有 抗 抵赖 和 审计 的 功能 ,需要 保证 应 用 系统 的 可 用 性 和 可 靠 性 。 针 对 一 个 信息 网 络 系 
统 , 如 果 在 各 个 系统 单元 都 有 相应 的 安全 措施 来 满足 其 安全 需求 , 则 认为 该 信息 网 络 
是 安全 的 。 
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安全 服务 
RS 对 | 数 | 访 | 机 | 流 | 数 | 非 | 可 
S 等 | 据 | 问 | 密 | 量 | 据 | 否 | 用 
二 实 | 深 | 控 | 性 | 机 | 完 | 认 | 性 
号 体 | 认 | 制 | | 密 | 整 | 服 
< 内 | 证 性 | 性 | 务 
协 
议 | 到 只 四 
层 通信 平台 
这 网 络 平台 % 
系统 平台 GS 
应 用 平台 
物理 平台 


8-1 三 维 安全 防范 技术 体系 框架 结构 


2. 网 络 安全 防范 体系 层次 
作为 全 方位 的 整体 的 网 络 安 全 防范 体系 也 是 分 层次 的 ,不 同 层次 反映 了 不 同 的 安 


全 问题 。 根 据 网 络 的 应 用 现状 和 网 络 的 结构 ,将 安全 防范 
体系 的 层次 ( 见 图 8-2) 划 分 为 物理 层 安全 .系统 层 安 全 .网 多 人 和 有、 


络 层 安全 、 应 用 层 安全 和 安全 管理 。 FE= = 
1) 物理 环境 的 安全 性 一 物理 层 安全 问 系 应 
该 层次 的 安全 包括 通信 线路 的 安全 ,物理 设备 的 安全 、 ”| 答 让 县 

机 房 的 安全 等 。 物 理 层 的 安全 主要 体现 在 通信 线路 的 可 靠 | 笃 委 国 

性 .线路 备份 网管 软件 .传输 介质 ; 软 硬 件 设备 安全 性 . 交 ”大 和 下 

换 设备 . 拆 务 设备 .增加 设备 ;设备 的 备份 ; 防 灾害 能 力 、 防 物理 层 安全 


干扰 能 力 ; 设 备 的 运行 环境 (温度 .湿度 .烟尘 .不 间断 电源 图 8-2 网 络 安全 防范 体系 层次 
保障 ) 等 。 

2) 操作 系统 的 安全 性 一 一 系统 层 安全 

该 层次 的 安全 问题 来 自 网 络 内 使 用 的 操作 系统 的 安全 ,如 Windows Server 2000、 
Windows Server 2003 等 。 主 要 表现 在 三 方面 : 一 是 操作 系统 本 身 的 缺陷 带 来 的 不 安全 
因素 ,主要 包括 身份 认证 .访问 控制 .系统 漏洞 等 ;二 是 对 操作 系统 的 安全 配置 问题 ;三 是 
病毒 对 操作 系统 的 威胁 。 

3) 网 络 的 安全 性 一 一 网 络 层 安 全 

该 层次 的 安全 问题 主要 体现 在 网 络 方面 的 安全 性 ,包括 网 络 层 身份 认证 、 网 络 资源 
的 访问 控制 .数据 传输 的 保密 与 完整 性 、 远 程 接 入 的 安全 ,域名 系统 的 安全 、 路 由 系统 的 
安全 、 人 入侵 检测 的 手段 .网 络 设施 防 病毒 等 。 

4) 应 用 的 安全 性 一 一 应 用 层 安 全 

该 层次 的 安全 问题 主要 由 提供 服务 所 采用 的 应 用 软件 和 数据 的 安全 性 产生 ， 
Web 服务 .电子 邮件 系统 .DNS 等 。 此 外 ,还 包括 病毒 对 系统 的 威胁 。 


由 
ey 
ey 
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5) 管理 的 安全 性 一 一 安全 管理 

安全 管理 包括 安全 技术 和 设备 的 管理 .安全 管理 制度 .部 门 与 人 员 的 组 织 规则 等 。 
管理 的 制度 化 极 大 程度 地 影响 着 整个 网 络 的 安全 ,严格 的 安全 管理 制度 .明确 的 部 门 安 
全 职责 划分 、 合 理 的 人 员 和 角色 配置 都 可 以 在 很 大 程度 上 降低 其 他 层次 的 安全 漏洞 。 


3. 现代 网 络 安全 体系 模型 


根据 网 络 安全 目前 的 局 势 和 网 络 安全 技术 的 发 展 ,网 络 安全 体系 正 从 传统 的 静态 被 
动 防范 向 动态 主动 防范 方向 发 展 。 图 8-3 是 动态 主动 防范 安全 系统 的 管理 模型 。 其 基本 
思路 是 根据 制定 安全 防范 策略 ,检测 网 络 中 的 各 种 活动 ,调查 和 鉴别 发 现 的 问题 ,并 将 分 
析 结 果 通 知 网 络 安全 设备 作为 响应 条 件 ,网络 安 全 设备 根据 接收 到 的 分 析 结 果 采 取 相 应 
措施 ,加 入 保护 .跟踪 、 恢 复 等 动作 。 


防护 


(Prevention) 


恢复 、 追 踪 


响应 
(Response) 


鉴别 问题 


监视 分 析 


(Detection) 


(Investigation) 


图 8-3 现代 网 络 安全 体系 模型 


基于 以 上 网 络 安全 体系 模型 ,构建 网 络 安全 体系 结构 ,如 图 8-4 所 示 。 在 进行 网 络 风 
险 分 析 的 基础 上 ,制定 全 网 的 安全 策略 ,利用 统一 的 网 络 安全 管理 平台 分 发 安全 策略 , 实 
现 全 网 安全 策略 的 部 署 , 采 用 在 线 检测 技术 ,监控 全 网 的 网 络 动态 ,并 依据 检测 分 析 结果 
采取 快速 隔断 ,分 级 保护 ,封闭 和 恢复 等 措施 ,形成 网 络 设备 和 专业 网 络 安 全 分 工 协作 共 
同 保证 网 络 安 全 的 局 面 。 


如 
人 


8-4 网 络 安全 系统 结构 


812 网 络 安全 系统 设计 的 基本 原则 


目前 ,对 于 新 建 网 络 及 已 投入 运行 的 网 络 ,在 进行 网 络 安全 系统 设计 时 应 遵循 如 下 
思想 : 大 幅度 地 提高 系统 的 安全 性 和 保密 性 ;保持 网 络 原 有 的 性 能 特点 , 即 对 网 络 的 协议 
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和 传输 具有 很 好 的 透明 性 ;易于 操作 、 维 护 , 并 便于 自动 化 管理 ,不 增加 或 少 增加 附加 操 
作 ; 尽 量 不 影响 原 网 络 拓扑 结构 ,便于 系统 及 系统 功能 的 扩展 ;安全 保密 系统 具有 较 好 的 
性 能 价格 比 ,一 次 性 投资 ,可 以 长 期 使 用 ;安全 与 密码 产品 具有 合法 性 ,并 便于 安全 管理 
单位 与 密码 管理 单位 的 检查 与 监督 。 

基于 上 述 思 想 ,网 络 安全 系统 应 遵循 如 下 设计 原则 。 


1. 满足 Internet 的 分 级 管理 需求 


根据 Internet 网 络 规模 大 、 用 户 众 多 的 特点 ,对 Internet/Intranet 信息 安全 实施 分 级 
管理 的 解决 方案 ,将 对 它 的 控制 点 分 为 三 级 实施 安全 管理 。 

(1) 中 心 级 ,主要 实现 内 外 网 隔离 .内 外 网 用 户 的 访问 控制 ,内 部 网 的 监控 ,内 部 网 传 
输 数 据 的 备份 与 稽查 。 

(2) 部 门 级 ,主要 实现 同 级 部 门 间 的 访问 控制 ,部 门 网 内 部 的 安全 审计 。 

(3) 终端 /个 人 用 户 级 ,实现 部 门 内 部 主机 的 访问 控制 ,数据 库 及 终端 信息 资源 的 安 
全 保护 。 


2. 需求 .风险 .代价 平衡 的 原则 


对 任 一 网 络 ,绝对 安全 是 难以 达到 的 ,也 不 一 定 是 必要 的 。 对 一 个 网 络 进行 实际 的 
研究 (包括 任务 ,性 能 、 结 构 .可 靠 性 .可 维护 性 等 ) ,并 对 网 络 面临 的 威胁 及 可 能 承担 的 风 
险 进行 定性 与 定量 相 结合 的 分 析 , 然 后 制定 规范 和 措施 ,确定 本 系统 的 安全 策略 。 


3. 综合 性 ,整体 性 原则 


应 用 系统 工程 的 观点 和 方法 ,分 析 网 络 的 安全 及 具体 措施 。 安 全 措施 主要 包括 : 行 
政法 律 手段 .各 种 管理 制度 (人 员 审 查 . 工 作 流程 、 维 护 保障 制度 等 ) 以 及 专业 措施 (识别 
技术 \ 存 取 控制 .密码 、 低 辐射 .容错 、 防 病毒 .采用 高 安全 产品 等 )。 一 个 较 好 的 安全 措施 
往往 是 多 种 方法 适当 综合 的 应 用 结果 。 一 个 计算 机 网 络 , 包 括 个 人 .设备 .软件 .数据 等 ， 
这 些 环 节 在 网 络 中 的 地 位 和 影响 作用 ,也 只 有 从 系统 综合 整体 的 角度 去 看 待 、 分 析 , 才 能 
取得 有 效 可 行 的 措施 。 计 算 机 网 络 安全 应 遵循 整体 安全 性 原则 ,根据 规定 的 安全 策略 制 
定 出 合理 的 网 络 安全 体系 结构 。 

网 络 安全 系统 的 整体 性 是 要 求 在 网 络 发 生 被 攻击 、 破 坏事 件 的 情况 下 ,必须 尽 可 能 
地 快速 恢复 网 络 信息 中 心 的 服务 ,减少 损失 。 因 此 ,信息 安全 系统 应 该 包括 安全 防护 机 
制 、 安 全 检测 机 制 和 安全 恢复 机 制 。 安 全 防护 机 制 是 根据 具体 系统 存在 的 各 种 安全 威胁 
采取 相应 的 防护 措施 ,避免 非法 攻击 的 进行 。 安 全 检测 机 制 是 检测 系统 的 运行 情况 ,及 
时 发 现 和 制止 对 系统 进行 的 各 种 攻击 。 安 全 恢复 机 制 是 在 安全 防护 机 制 失 效 的 情况 下 ， 
进行 应 急 处 理 和 尽量 及 时 地 恢复 信息 ,减少 供给 的 破坏 程度 。 


4. 可 用 性 原则 


安全 措施 需要 人 为 去 完成 ,如 果 措施 过 于 复杂 ,要 求 过 高 ,本 身 就 降低 了 安全 性 ,如 
密 钥 管理 就 有 类 似 的 问题 。 其 次 ,措施 的 采用 不 能 影响 系统 的 正常 运行 ,如 不 采用 或 少 
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采用 极 大 地 降低 运行 速度 的 密码 算法 。 
5. 分 步 实施 原则 


由 于 网 络 系统 及 其 应 用 扩展 范围 广阔 , 随 着 网 络 规模 的 扩大 及 应 用 的 增加 ,网 络 脆 
弱 性 也 会 不 断 增加 ,一劳永逸 地 解决 网 络 安全 问题 是 不 现实 的 。 同 时 由 于 实施 信息 安全 
措施 需 相 当 的 费用 支出 ,因此 分 步 实施 , 既 可 满足 网 络 系统 及 信息 安全 的 基本 需求 , 亦 可 
节省 费用 开支 。 

6. 木 桶 原则 

网 络 安全 的 木 桶 原则 是 指 对 信息 均衡 、 全 面 的 进行 保护 。“ 木 桶 的 最 大 容积 取决 于 
最 短 的 一 块 木板 "。 网 络 系统 是 一 个 复杂 的 计算 机 系统 , 它 本 身 在 物理 上 、 操 作 上 和 管理 
上 的 种 种 漏洞 构成 了 系统 的 安全 脆弱 性 ,尤其 是 多 用 户 网 络 系统 自身 的 复杂 性 、 资 源 共 
享 性 使 单纯 的 技术 保护 防不胜防 。 攻 击 者 使 用 的 “最 易 渗 透 原则 ”, 必 然 在 系统 中 最 薄 纶 
的 地 方 进行 攻击 。 因 此 ,充分 .全 面 、 完 整地 对 系统 的 安全 漏洞 和 安全 威胁 进行 分 析 , 评 
估 和 检测 包括 模拟 攻击 是 设计 信息 安全 系统 的 必要 前 提 条 件 。 安 全 机 制 和 安全 服务 设 
计 的 首要 目的 是 防止 最 常用 的 攻击 手段 ,根本 目的 是 提高 整个 系统 的 “安全 最 低 点 ”的 安 
全 性 能 。 


7. 标准 化 与 一 致 性 原则 


网 络 系统 是 一 个 庞大 的 系统 工程 ,其 安全 体系 的 设计 必须 遵循 一 系列 的 标准 ,这 样 
才能 确保 各 个 分 系统 的 一 致 性 ,使 整个 系统 安全 地 互联 互通 、 信 息 共享 。 


8. 技术 与 管理 相 结合 原则 


安全 体系 是 一 个 复杂 的 系统 工程 ,涉及 人 、 技 术 、 操 作 等 要 素 , 单 靠 技术 或 单 靠 管理 
都 不 可 能 实现 。 因 此 ,必须 将 各 种 安全 技术 与 运行 管理 机 制 \ 人 员 思 想 教育 与 技术 培训 、 
安全 规章 制度 建设 相 结合 。 


9. 动态 发 展 原则 


要 根据 网 络 安全 的 变化 不 断 调整 安全 措施 ,适应 新 的 网 络 环境 ,满足 新 的 网 络 安全 


10. 易 操作 性 原则 


首先 ,安全 措施 需要 人 为 去 完成 ,如 果 措 施 过 于 复杂 ,对 人 的 要 求 过 高 ,本 身 就 降低 
了 安全 性 。 其 次 ,措施 的 采用 不 能 影响 系统 的 正常 运行 。 


813 网 络 安全 系统 设计 的 基本 方法 


设计 一 个 网 络 安 全 系统 并 非 那 么 简单 。 对 设计 标准 的 评价 会 让 人 理解 网 络 及 其 作 
用 ,网 络 安 全 设计 必须 适应 下 一 代 技 术 的 实施 。 网 络 安全 系统 设计 规划 并 不 是 仅 为 新 的 
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网 络 而 做 ,而 是 在 现 有 基础 上 的 改进 。 网 络 安全 设计 如 果 是 基于 稳定 的 结构 而 很 好 地 规 
划 , 以 后 重新 设计 时 就 会 很 容易 。 

设计 只 是 网 络 生命 周期 的 一 个 部 分 。 规 划 、 设 计 、 实 施 、 操 作 和 优化 (planning、 
design、implementation、operation .optimization,PDIOO) 构 成 了 完整 的 网 络 生命 周期 ,每 
个 阶段 都 是 在 前 阶段 基础 上 建立 起 一 个 强健 的 网 络 ,即便 业务 需求 发 生变 化 ,也 能 保持 
网 络 的 有 效 性 。PDIOO 方法 可 以 运用 到 所 有 技术 上 。 在 PDIOO 期 间 , 可 以 定义 出 关键 
的 系统 模块 以 及 相关 的 技术 ,这 些 技术 与 增加 客户 网 络 价 值 有 着 直接 的 联系 。 例 如 , 理 
解 业务 目标 、 使 用 特性 和 网 络 需求 ,将 有 助 于 避免 不 必要 的 升级 和 网 络 再 设计 ,因而 能 够 
减少 将 一 个 新 服务 引入 网 络 而 需要 的 时 间 。 


1. 规划 阶段 


在 规划 阶段 ,可 以 对 将 来 的 设计 逻辑 进行 测试 以 发 现 问题 。 规 划 有 助 于 避免 重复 网 
络 设计 当中 的 逻辑 性 错误 ,因为 这 些 网 络 设 计 模 板 可 能 会 在 很 多 地 方 使 用 。 规 划 阶 段 的 
焦点 是 技术 和 投资 标准 ,并 且 要 考虑 到 本 章 前 面 提 到 的 需求 和 制约 。 在 规划 阶段 ,识别 
出 所 有 的 用 户 需求 是 很 重要 的 。 


2. 设计 阶段 


完成 规划 之 后 就 有 足够 的 信息 来 开发 网 络 设计 了 。 如 果 是 一 个 现成 的 网 络 ,设计 阶 
段 的 工作 应 该 是 去 复查 和 验证 。 在 设计 阶段 ,可 以 选择 产品 ,协议 ,并 且 基 于 规划 阶段 确 
定 的 标准 来 选择 特性 。 可 以 开发 网 络 图 来 演示 为 取得 既定 效果 对 网 络 要 做 哪些 更 改 。 
设计 和 规划 越 详细 ,也 就 越 能 提前 预见 实施 过 程 中 可 能 会 碰 到 的 挑战 。 


3. 实施 阶段 


实施 阶段 提供 详细 的 ,定制 的 计划 ,有 助 于 避免 风险 并 满足 期 望 。 一 个 强健 的 实施 
计划 能 够 确保 即使 问题 出 现 也 平稳 部 署 。 与 所 有 用 户 进行 沟通 ,以 便 评 估计 划 的 有 效 
性 。 在 草案 阶段 及 早 发 现 问题 要 比 实施 时 才 发 现 要 好 得 多 。 

像 变 更 控制 这 样 好 的 流程 可 以 有 效 解 决 部 署 阶段 碰 到 的 问题 ,变更 控制 提供 了 一 
定 的 灵活 性 ,因为 要 对 每 个 偶然 现象 都 做 出 计划 显然 是 不 可 能 的 ,特别 是 长 期 的 实施 
过 程 。 

注意 : 变更 控制 是 一 个 组 织 业 务 流程 实施 授权 变更 的 过 程 ,这 其 中 牵涉 到 对 问题 的 
分 析 和 在 正式 建议 中 增加 一 些 成 果 。 这 种 建议 应 该 在 授权 之 前 得 到 管理 层 的 复查 。 


4. 操作 阶段 


操作 阶段 ,也 被 称 做 操作 支持 阶段 ,主要 目的 是 保护 网 络 投资 ,防止 问题 ,最 大 化 系 
统 的 功用 ,提升 问题 解决 的 能 力 。 


5. 优化 阶段 
PDIOO 的 最 后 一 个 阶段 是 优化 网 络 。 一 个 强健 的 设计 是 需要 优化 和 调整 的 ,以 便 
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充分 发 挥 其 潜能 。 优 化 可 以 是 对 服务 器 做 简单 的 安全 加 固 , 也 可 以 是 针对 延迟 敏感 的 流 
量 增加 网 络 的 QoS。 图 8-5 显示 了 PDIOO 过 程 ,每 个 阶段 都 是 前 后 关联 的 。 


ml 计划 广 一 | 设计 六 一 | 实施 上 一 | 操作 六 一 | 优化 


8-5 PDIOO 过 程 阶段 


优化 甚至 能 够 引发 网 络 的 重新 设计 ,致使 开始 一 次 新 的 循环 。 
82 无 线 局 域 网 的 安全 策略 


随 着 互联 网 不 断 发 展 和 移动 办 公 需 求 越 来 越 大 , 人们 希望 能 够 摆脱 有 线 网 络 的 束 
缚 ,能 够 在 任何 地 点 任何 时 间 方 便 快 捷 地 接 入 网 络 , 而 无 线 网 络 技 术 的 实现 满足 了 人 们 
的 这 种 愿望 ,而 且 随 着 无 线 网 络 技术 的 快速 进步 ,无 线 网 络 已 经 从 计算 机 网 络 的 补充 角 
色 在 向 计算 机 网 络 的 主要 形势 转换 。 但 无 线 网 络 固有 的 工作 原理 ,使 得 网 络 安全 变 得 比 
有 线 网 络 更 为 严峻 。 在 无 线 网 络 给 人 们 带 来 种 种 便利 的 同时 ,也 为 黑客 对 基于 无 线 链 路 
和 智能 移动 终端 的 蓄意 破坏 、 自 改 、 窃 听 、 假 冒 、 汇 露 和 非法 访问 信息 资源 的 各 种 攻击 行 
为 提供 了 方便 。 另 外 ,由 于 网 络 本 身体 系 结构 复杂 传输 速度 慢 、 信 号 容易 受 感染 、 安 全 
隐患 多 ,也 使 得 无 线 网 络 的 安全 措施 更 为 迫切 和 困难 。 
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1. 什么 是 无 线 局 域 网 (WLAN) 


无 线 局 域 网 (wireless LAN,WLAN) 通 常 部 署 在 校园 .小 区 企业 办 公 室 会议 室 、 工 
业 仓 库 、 网 络 教 室 和 咖啡 厅 。 按 照 IEEE 802. 11 标准 中 的 定义 ,WLAN 使 用 空气 中 的 无 
线 电 频 率 (RF) 作 为 介质 发 送 和 接收 数据 。 

基于 IEEE 802.11 的 WLAN 给 网 络 管理 员 和 信息 安全 管理 员 带 来 了 新 的 挑战 。 传 
统 的 有 线 以 太 网 部 署 相对 简单 .与 之 不 同 的 是 ,802. 11 WLAN 向 客户 工作 站 广播 RF 信 
号 ,以 便 它们 监听 。 

为 更 好 地 理解 WLAN 的 弱点 和 带 来 的 挑战 ,图 8-6 针对 一 个 无 线 网 络 环境 下 的 客 
户 机 /服务 器 应 用 描述 了 802. 11 标准 的 协议 栈 。 

IEEE 802. 11 标准 说 明了 无 线 客户 端 和 基站 (AP) 之 间 的 接口 以 及 无 线 客户 端 之 间 
连接 的 接口 。 与 其 他 802. x 系列 标准 (802. 3 是 以 太 网 ,802. 5 是 令 牌 环 网 ) 类 似 ,802. 11 
提供 了 物理 层 (PHY) 和 介质 访问 控制 (MAC) 层 的 标准 。 

802. 11 标准 最 早 在 1997 年 发 布 ,定义 了 MAC 层 、MAC 层 管 理 协 议和 服务 以 及 
3 种 不 同 数据 速率 的 物理 层 。 后 续 的 版 本 在 数据 速率 .安全 功能 和 服务 质量 (QoS ) 等 方 
面 有 了 提高 。 表 8-2 比较 了 不 同 标准 间 的 主要 区 别 。 
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应 用 层 应 用 层 
TCP TCP 
IP IP IP 
LLC 第 2 层 协议 | | 第 2 层 协议 
802.11 MAC 
PHY 802.11b| |PHY 802.11b| 双 绞 线 | | 双 绞 线 | 第 1 层 协议 | 第 1 层 协议 
了 人 无 线 访问 接 入 点 路 由 器 
(AP) 
8-6 802.11 协议 栈 
表 8-2 802. 11 标准 概述 
802. 11a 802. 11b 802. 11g 802. 11n 
频率 5GHz 2. 4GHz 2. 4GHz 2.4GHz/5GHz 
速度 54Mbit/s 11Mbit/s 54Mbit/s 108Mbit/s 以 上 
市 场 应 用 家 庭 娱 乐 无 线 办 公 室 家 庭 或 办 公 应 用 园区 网 


802. 11a 和 802. 11g 的 数据 传输 速度 是 相同 的 ,但 5GHz 的 频带 有 一 些 局 限 , 在 有 些 
国家 不 如 2. 4GHz 频带 清晰 。 目 前 还 存在 些 其 他 802. 11 标准 或 正在 定义 新 的 标准 。 本 
章节 将 重点 讨论 802. 11i, 它 增强 了 802. 11 的 MAC 层 , 提 高 了 安全 性 和 认证 机 制 。 


2. 无 线 网 络 的 工作 原理 


应 用 于 802. 11a/b/g WLAN 标准 的 安全 ,研发 人 员 和 黑客 都 发 现 了 一 些 标准 中 所 
定义 的 认证 ,数据 保密 性 和 消息 完整 性 机 制 的 漏洞 。 为 更 好 地 理解 这 些 漏洞 ,本 节 详 细 
介绍 无 线 网 络 的 工作 原理 。 

1) WLAN 的 体系 结构 

WLAN 的 体系 结构 由 3 个 部 分 构成 : 无 线 客户 端 工作 站 ;无线 访问 接 人 点 AP; 基 本 
服务 集 (basic service set,BSS) 。 无 线 客 户 端 工作 站 可 以 是 任何 采用 802. 11 标准 通信 的 
设备 (如 笔记 本 电脑 、 工 作 站 、PDA 甚至 打印 机 和 扫描 仪 ) 。 访 问 接 人 点 (AP) 提 供 两 个 功 
能 : 一 方面 作为 WLAN 和 有 线 LAN 之 间 的 连接 平台 , 另 一 方面 作为 所 有 连接 该 AP 的 
无 线 客户 端 工 作 站 的 中 继 。 

无 线 工 作 站 和 AP 都 是 物理 设备 部 件 ,基本 服务 集 BSS 是 无 线 体系 结构 中 的 逻辑 部 
件 。BSS 通常 是 一 些 无 线 工作 站 的 集合 .它们 由 一 个 简单 管理 功能 所 控制 ,BSS 具有 两 
种 配置 选项 。 在 自主 基本 服务 集 (IBSS) 中 ,工作 站 之 间 不 需要 AP 直接 进行 通信 。 扩 展 
服务 集 (extended service set,ESS) 是 一 系列 基础 结构 基本 服务 集 的 集合 ,形成 一 个 单个 
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的 基本 服务 集 , 这 对 提供 宛 余 连 接 是 非常 重要 的 ,但 也 存在 一 些 安全 问题 需要 解决 。 

2) 建立 WLAN 连接 

由 于 WLAN 使 用 无 线 电 频 率 发 送 和 接收 数据 ,因此 建立 无 线 连接 的 第 一 个 步骤 是 
进行 信号 扫描 。 类 似 于 调谐 一 个 无 线 电台 ,扫描 功能 是 指 一 个 无 线 工 作 站 查找 另 一 个 工 
作 站 或 AP。802. 11 标准 定义 了 两 类 扫描 功能 : 主动 扫描 和 被 动 扫描 。 在 扫描 过 程 中 ， 
工作 站 监听 信号 帧 (beacon frames, 类 似 于 保持 活动 keepalive 消息 ) .以 定位 和 识别 在 区 
域内 的 BSS。 信 和 号 帧 中 包含 的 信息 有 服务 集 标 识 符 (service set identifiers, SSID) 支持 
的 速率 以 及 时 间 戳 。 本 

图 8-7 说 明了 建立 连接 的 步骤 ,下 面 讨论 ee 
认证 过 程 的 每 个 步骤 。802. 11 标准 规定 了 开 一 G) 认 证 请 求 “ 
放 认证 和 共享 密 钥 认证 两 类 认证 客户 端的 机 A 
制 ,通常 也 采用 SSID 认证 和 客户 端 MAC 认 ”工作 站 (5) 连接 请 求 


证 两 种 认证 方式 。 这 些 机 制 的 缺陷 在 后 面 的 (6) 连接 响应 
无 线 风险 节 中 介绍 。 有 线 等 效 加 密 (wired 
equivalent privacy, WEP) 密 钥 可 作为 一 种 访 图 8-7 无 线 工作 站 认证 


问 控制 方法 ,如 果 一 个 客户 端 没 有 正确 的 
WEP 密 钥 ,就 无 法 和 AP 间 发 送 和 接收 数据 。IEEE 802. 11 委员 会 采用 了 WEP 加 密 算 
法 ,支持 40 位 和 128 位 两 种 长 度 的 密 钥 。 

在 图 8-7 中 ,802. 11 客户 端的 认证 有 6 个 步骤 。 

(1) 工作 站 在 每 个 通道 广播 扫描 请 求 帧 ,在 一 个 WLAN 区 域内 快速 定位 某 个 工作 
站 (通过 发 送 SSID)。 

(2) 在 该 区 域内 的 AP 扫描 响应 帧 ,这 个 响应 来 源 于 基础 结构 BSS 的 AP( 对 于 
IBSS, 由 响应 的 工作 站 发 送 一 个 响应 帧 ) 。 

(3) 工作 站 确定 所 需 访问 的 最 适合 的 AP 发 送 认 证 请 求 。 

(4) AP 发 送 认 证 响应 ,在 响应 中 包含 用 于 开放 系统 的 认证 算法 ID( 对 于 共享 密 钥 系 
统 , 使 用 WEP 产生 一 个 随机 数 和 质询 文本 ,包含 在 响应 帧 中 。 这 个 加 密 的 请 求 /响应 过 
程 未 在 图 中 显示 ,本 章 后 续 部 分 将 详细 介绍 )。 

(5) 认证 成 功 后 ,客户 端 向 AP 发 送 连接 请 求 帧 ,这 是 一 个 重要 的 步骤 ,保证 每 个 需 
要 向 无 线 工 作 站 发 送 数据 的 一 方 都 知道 需要 通过 AP 发 送 。 

(6) AP 发 送 连接 响应 帧 。 


822 无 线 局 域 网 的 安全 缺陷 与 攻击 


在 网 络 中 使 用 无 线 技术 带 来 了 很 多 的 安全 问题 ,网 络 管理 开发 需要 防止 人 侵 者 访问 
网 络 , 读 取 或 更 改 网 络 数据 流 。 解 决 无 线 网 络 安全 问题 的 技术 , 按 开发 的 时 间 顺 序 依 次 
排列 为 SSID .开放 认证 协议 和 WEP 协议。WEP 的 设计 是 为 了 在 无 线 网 络 中 提供 类 似 
物理 有 线 网 络 的 安全 性 。 
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1. SSID 的 缺陷 


在 AP 的 信号 帧 中 ,SSID 以 明文 方式 进行 广播 。 虽 然 信 号 帧 对 用 户 是 透明 的 ,但 窃 
听 者 可 以 非常 方便 地 使 用 802. 11 WLAN 嗅 探 分 析 器 (如 Sniffer Pro Netstumbler 和 
Kismet) 来 确定 SSID。 一 些 AP 生产 厂家 ,包括 Cisco 公司 ,都 提供 在 信和 号 帧 中 禁止 SSID 
广播 的 选项 。 但 对 窃听 者 来 说 , 仍 可 通过 嗅 探 到 的 响应 帧 来 获取 SSID 值 。 因 此 ,不 建议 
采用 SSID 作为 安全 手段 。 


2. 开放 认证 的 缺陷 

使 用 开放 认证 的 无 线 网 络 存在 很 大 的 缺陷 ,AP 无 法 确定 一 个 用 户 是 否 为 合法 用 户 。 
对 于 公共 的 WLAN 部 署 , 不 需要 执行 很 强 的 访问 认证 ,但 需要 采用 高 层 的 认证 。 

3. 共享 密 钥 认证 的 缺陷 

在 深入 研究 WEP 的 主要 缺陷 之 前 ,首先 详细 了 解 共享 密 钥 的 认证 过 程 。 

1) WEP 协议 概述 

WEP 协议 主要 有 保密 性 .访问 控制 和 数据 完整 性 三 个 目标 。 这 三 个 目标 的 完成 ,可 
以 协助 管理 员 防 止 非 授权 用 户 使 用 无 线 网 络 或 者 分 析 无 线 数 据 流 。 共 享 密 钥 认 证 过 程 
需要 客户 端 配置 静态 的 WEP 密 钥 。 图 8-8 描述 了 共享 密 钥 认证 过 程 , 步 骤 如 下 。 


SQ (1) 认证 请 求 

(2) 认证 响应 (质询 ) 
1 G) 认证 请 求 (加 密 质询 ) 人 
WEP 密 钥 123456 | (4) 连接 响应 (成 功 ) WEP 密 钥 123456 


图 8-8 使 用 WEP 的 无 线 工 作 站 认证 


(1) 客户 端 向 AP 发 送 共享 密 钥 认证 请 求 。 

(2) AP 使 用 WEP 算法 产生 一 个 随机 数 , 包 含 在 认证 响应 的 质询 文本 中 。 

(3) 客户 端 使 用 本 地 配置 的 WEP 密 钥 加 密 质 询 文本 ,返回 一 个 加 密 认 证 请 求 。 

(4) 如 果 可 以 解密 认证 请 求 并 获得 最 初 的 质询 文本 ,说 明 客 户 端 通过 认证 ,AP 返回 
一 个 认证 响应 并 授权 用 户 访问 。 

2) WEP 协议 的 缺陷 

从 图 8-8 可 以 发 现 ,交换 质询 文本 的 过 程 是 通过 无 线 连接 进行 的 ,会 被 “中间人 攻击 ” 
(man-in-the-middle attack) 所 利用 。 攻 击 者 可 以 捕获 明文 (质询 文本 ) 以 及 加 密 的 质询 
响应 。 

注意 : 为 攻击 成 功 ,中 间 人 必须 对 质询 响应 解密 ,从 而 获得 WEP 密 钥 。 在 2001 年 
以 前 WEPcrack 和 Airsnort 等 程序 可 以 识别 弱 WEP 密 钥 和 质询 ,使 攻击 者 的 工作 变 得 
简单 快速 。 目 前 ,一 些 厂 商 修改 了 产生 密 钥 和 质询 的 硬件 ,这 种 现象 已 经 不 存在 。 

图 8-9 描述 了 中 间 人 攻击 。 
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1. 认证 请 求 (加 密 质询 ) 


2. 认证 请 求 (质询 ) 


8-9 WEP 的 弱点 


WEP 对 明文 和 密 钥 序列 使 用 异 或 (XOR) 功 能 产生 加 密 质询 。 

注意 : 异 或 (XOR) 功 能 可 以 描述 为 ,A、B 均 为 真 或 A、B 均 为 假 时 ,结果 为 假 。 当 两 
个 输入 不 同时 ,XOR 操作 的 结果 为 远 辑 1。 如 果 输 入 相同 ,结果 为 远 辑 0。 这 个 功能 通常 
被 称 为 “无 进 制 加 法 ”(add without carry) 。 

如 果 对 明文 和 加 密 质询 进行 异 或 操作 ,得 到 的 结果 就 是 密 钥 序 列 。 因 此 ,攻击 者 可 
以 方便 地 通过 协议 分 析 器 嗅 探 共 享 密 钥 认 证 过 程 计 算出 密 钥 序列 。 很 多 其 他 攻击 ,如 消 
息 更 改 .消息 插入 和 重 定向 ,都 是 基于 这 样 的 人 侵 技术 。 

显然 ,WEP 没有 达到 其 希望 解决 的 安全 问题 这 一 目标 。 因 此 ,对 网 络 管理 员 来 说 ， 
需要 明确 WEP 是 不 安全 的 ,把 无 线 网 络 看 作 是 一 个 公共 网 络 ,把 它 放 在 防火 墙 之 外 并 执 
行 额外 的 认证 手段 。VPN IPSec 和 SSH 等 高 层 软件 可 以 加 密 所 有 从 客户 端 应 用 到 服务 
器 端 应 用 的 数据 ,保证 事务 处 理 的 安全 ,它们 也 可 以 应 用 到 802. 11 无 线 连接 上 。 

3) 针对 WEP 协议 缺陷 的 对 策 

显然 ,很 多 802. 11 网 络 都 采用 了 WEP 协议 ,针对 WEP 协议 的 主要 缺陷 ,802. 11 厂 
商 开发 了 一 些 专用 解决 方案 。 在 IEEE 802. 11i 发 布 之 前 ,Cisco 公司 开发 了 自主 的 方案 
来 解决 WEP 协议 的 缺陷 。WEP 协议 包含 3 个 部 分 : 认证 框架 ;认证 算法 ;数据 保密 或 
加 密 算法 。 

Cisco 公司 无 线 安全 套件 所 包含 的 增强 功能 均 优 于 WEP 协议 各 个 部 分 的 功能 。 
Cisco 公司 无 线 安 全 套件 采用 IEEE 802. 1x 标准 作为 认证 框架 和 基于 用 户 的 认证 算法 ， 
这 个 算法 称 为 扩展 认证 协议 Cextensible authentication protocol,EAP) ,这 个 算法 可 以 产 
生动 态 的 WEP 密 钥 。Cisco 轻型 扩展 认证 协议 (light extensible _ authentication 
protocol,LEAP) 是 Cisco 的 专用 认证 协议 ,用 于 802. 11 WLAN 环境 。LEAP 的 主要 目 
的 是 在 网 络 和 用 户 之 间 进 行 双向 认证 保护 随机 密 钥 以 及 用 户 定义 的 加 密会 话 密 钥 ,更 重 
要 的 是 ,LEAP 与 目前 广泛 采用 的 网 络 认证 机 制 ( 如 RADIUS) 兼 容 。 

此 外 ,Cisco 开发 了 临时 密 钥 完 整 性 协议 (temporal key integration protocol, TKIP) 
以 提高 WEP 保密 性 和 加 密 算法 。 
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4. War-Driving 攻击 和 War-Chalking 攻击 


War-Driving 是 一 种 新 的 网 络 攻击 方式 ,攻击 者 在 汽车 内 或 汽车 项 上 使 用 天 线 ,天线 
连接 车 内 的 笔记 本 电脑 ,然后 驾车 行进 (或 者 有 时 也 停 在 车 库 ) 在 电脑 上 使 用 特殊 的 软件 
记录 捕获 到 的 无 线 网 络 数据 。 这 种 软件 可 以 记录 汽车 所 在 位 置 的 经 度 纬度 以 及 无 线 网 
络 的 信号 强度 和 网 络 名 称 。 

对 于 WLAN 来 说 ,这 意味 着 给 新 的 网 络 攻 击 打 开 了 一 个 后 门 。 因 此 ,对 网 络 的 无 线 
部 分 进行 安全 网 络 审计 是 非常 必要 的 。 不 管 网 络 部 署 了 多 少 防 火 墙 ,不 恰当 的 无 线 配 置 
可 能 使 得 攻击 者 有 机 会 不 通过 防火 墙 而 获得 用 户 网 络 的 访问 。 

War-Chalking 用 于 标明 何 处 提供 免费 的 Internet 访问 。 这 种 方式 定义 了 系列 符号 ， 
标记 在 人 行道 .墙壁 .柱子 以 及 其 他 建筑 物 上 ,指示 附近 可 以 使 用 的 无 线 连接 ,每 个 符号 
都 代表 各 无 线 配置 信息 用 户 到 达 这 些 标记 的 位 置 后 使 用 符号 所 标明 的 信息 ,设置 无 线 网 
络 参数 就 可 以 连接 Internet。 


5. 无 线 局 域 网 欺诈 


无 线 局 域 网 欺诈 (fraud) 就 是 利用 默认 配置 漏洞 .加密 漏洞 、 密 钥 管理 漏洞 和 服务 设 
置 标识 漏洞 等 突破 身份 认证 的 封锁 ,假冒 合法 无 线 客户 端 或 无 线 AP 骗取 WLAN 的 信 
任 , 窃 听 重 要 机 密 信息 或 非法 访问 网 络 资源 的 攻击 行为 。 实 现 欺诈 的 关键 是 突破 身份 认 
证 ,而 通过 身份 认证 最 简便 的 办 法 就 是 设法 获得 SSID 和 WEP 共享 密 钥 。 如 前 SSID 漏 
洞 所 述 ,获取 SSID 并 不 困难 ,窃取 或 破译 共享 密 钥 才 是 WLAN 欺诈 的 关键 要 素 。 

除了 使 用 众多 免费 的 WEP 共享 密 钥 破译 软件 之 外 ,由 于 WEP 共享 密 钥 认证 过 程 相 
对 简单 ,通过 伪造 合法 的 共享 密 钥 认 证 过 程 .仍然 有 可 能 实现 欺诈 意图 。 在 共享 密 钥 认 
证 方式 下 无 线 AP 收 到 认证 请 求 后 ,以 明文 形式 发 送 一 个 128 位 的 随机 认证 消息 ,随机 认 
证 消息 由 共享 密 钥 和 初始 向 量 通过 RC4 加 密 算法 生成 ,无 线 客户 端 用 共享 密 钥 对 随机 认 
证 消息 加 密 后 回 送 给 无 线 AP。 如 果 能 够 积累 大 量 回 送 给 无 线 AP 的 加 密 随 机 认证 报 
文 , 就 有 可 能 破译 出 无 线 客户 端 对 明文 流 加 密使 用 的 密 钥 流 ,因为 加 密 随机 认证 报 文中 
隐藏 了 密 钥 流 。 一 旦 窃听 到 发 送 给 客户 端的 明文 随机 认证 响应 ,就 可 以 用 密 钥 流 伪造 一 
个 合法 的 加 密 随 机 认证 报 文 ,无 线 AP 必然 错误 地 认为 这 是 一 个 合法 的 无 线 客户 端 ,共享 
密 钥 。 认 证 欺诈 过 程 如 图 8-10 所 示 。 

将 SSID、MAC 地 址 过 滤 和 WEP 共享 密 钥 多 种 安全 机 制 组 合 起 来 ,能够 在 很 大 程度 
上 降低 安全 威胁 ,多 数 无 线 AP 在 开放 系统 认证 .封闭 系统 认证 和 共享 密 钥 认证 方式 下 都 
支持 MAC 地 址 过 滤 。 如 果 在 封闭 系统 认证 方式 下 配置 了 MAC 地 址 过 滤 ,无 线 客 户 端 
不 仅 要 向 无 线 AP 出 示 正 确 的 SSID, 还 需要 提交 合法 的 MAC 地 址 。 

尽管 MAC 地 址 过 滤 机 制 增强 了 WLAN 的 安全 性 .但 也 为 无 线 局 域 网 欺诈 提供 了 
机 会 。 由 于 无 线 客户 端 以 明文 方式 向 无 线 AP 发 送 MAC 地 址 连接 请 求 , 利 用 无 线 局 域 
网 监听 工具 很 容易 窃取 WLAN 中 其 他 无 线 客户 端 向 无 线 AP 发 送 的 合法 MAC 地 址 。 
此 外 如 果 能 知道 无 线 客户 端 使 用 的 无 线 网 络 适配器 生产 厂商 ,破译 MAC 地 址 要 比 破译 
WEP 共享 密 钥 容易 得 多 ,因为 MAC 地 址 是 通过 标准 化 生成 的 ,通过 伪造 合法 MAC 地 
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址 就 可 实现 无 线 局 域 网 欺诈 。 操 作 系 统 和 无 线 网 络 适配器 支 待 MAC 地 址 重新 配置 功 
能 ,也 为 MAC 地 址 欺诈 提供 了 方便 。 封 闭 系统 认 证 MAC 地 址 欺诈 过 程 如 图 8-11 所 示 。 
如 果 伪 造 MAC 地 址 的 无 线 客户 端 和 合法 MAC 地 址 的 无 线 客户 端 同时 在 线 , 必 然 会 破 
坏 ARP 缓存 表 。 所 以 利用 MAC 地 址 欺诈 接 入 WLAN 之 前 ,需要 用 WLAN 监听 工具 
确认 合法 MAC 地 址 是 否 在 线 。 


无 线 客户 端 无 线 AP 无 线 客户 端 无 线 AP 
_SSID 认证 请 求 -SD 认证 请 求 _ 
随机 认证 响应 一 _ 认 证 成 功 应 答 ___ 
伪造 加 密 随 机 认证 伪造 MAC 地 址 连接 请 求 
欺诈 认证 成 功 _ _ 授 权 连 接 请 求 ___ 
图 8-10 ”共享 密 钥 认证 欺诈 过 程 图 8-11 封闭 系统 认证 MAC 地 址 欺诈 过 程 
6. 无 线 AP 欺诈 


无 线 AP 欺诈 (rogue) 是 指 在 WLAN 覆盖 范围 内 秘密 安装 无 线 AP, 窃 取 通 信 、WEP 
共享 密 钥 ,SSID MAC 地 址 ,认证 请 求 和 随机 认证 响应 等 保密 信息 的 恶意 行为 。 事 实 上 
WLAN 固有 的 性 质 不 仅 为 无 线 局 域 网 欺诈 提供 了 方便 ,也 为 在 WLAN 附近 安装 欺诈 无 
线 AP 提供 了 便利 条 件 。 

为 了 实现 无 线 AP 欺诈 目的 ,需要 首先 利用 Netstumblor 等 WLAN 探测 和 定位 软 
件 , 获 得 合法 无 线 AP 的 SSID. 信 号 强度 、 是 否 加 密 等 信息 。 根 据 信号 强度 能 够 将 欺诈 无 
线 AP 秘密 安装 到 合适 位 置 ,确保 无 线 客户 端 可 


以 在 合法 AP 和 欺诈 AP 之 间 切 换 , 自 然 还 需要 只 

将 欺诈 AP 的 SSID 设置 成 合法 无 线 AP 的 SSID [| 
值 。 如 果 WLAN 采用 开放 系统 认证 或 封闭 系统 ”于 - 
认证 无 线 AP 欺诈 已 经 成 功 。 如 果 WLAN 采用 无 线 客户 端 加 
共享 密 钥 认证 ,还 需要 设法 获得 WEP 共享 密 钥 

才能 欺诈 成 功 。 


发 现 欺诈 无 线 AP 最 简单 的 方法 就 是 使 用 无 
线 局 域 网 探测 软件 ,因为 无 线 局 域 网 探测 软件 的 
基本 功能 就 是 试图 发 现 非法 无 线 AP, 但 前 提 是 
欺诈 无 线 AP 采用 了 开放 系统 认证 ,因为 在 封闭 
系统 认证 或 共享 密 钥 认 证 方式 下 ,无线 AP 并 不 国 8512， WIAN 闪 计 下 战 :AP 
广播 自己 的 SSID。WLAN 欺诈 无 线 AP 如 
图 8-12 所 示 。 


7. 无 线 局 域 网 动 持 


无 线 局 域 网 劫持 (hijack) 是 指 通过 伪造 ARP 缓存 表 使 会 话 流向 指定 恶意 无 线 客户 
端的 攻击 行为 ,无 线 局 域 网 劫持 原理 与 有 线 网 络 的 会 话 劫持 相同 ,主要 是 利用 了 ARP 协 
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议 中 存在 的 请 求 与 应 答 报 文 漏洞 。 

最 初 在 设计 ARP 协议 时 没有 考虑 ARP 发 送 请 求 进程 与 侦 听 应 答 进 程 之 间 的 关联 ， 
换 句 话说 ,发 送 主机 接收 到 ARP 应 答 报 文 时 ,并 不 清楚 是 否 曾 发 送 过 ARP 请 求 报 文 。 
主机 只 要 接收 到 ARP 应 答 报 文 , 就 将 MAC 地 址 保存 到 ARP 缓存 表 中 。 正 是 ARP 发 送 
请 求 进程 与 侦 听 应 答 进 程 之 间 的 无 关联 性 ,为 通过 伪造 MAC 地 址 实现 会 话 动 待 提供 了 
机 会 。 

同一 网 段 及 不 同 网 段 内 的 无 线 局 域 网 劫持 过 程 如 图 8-13 所 示 。 假 设 恶意 无 线 客户 
端的 IP 地 址 和 MAC 地 址 分 别 为 192. 168. 0. 1 和 00-00-86-01-02-0B, 路 由 器 的 IP 地 址 
和 MAC 地 址 分 别 为 192. 168. 0. 3 和 00-00-86-01-02-0D。 如 果 恶 意 无 线 客户 端 希望 动 持 
同一 网 段 内 IP 地 址 为 192. 168. 0.0 的 无 线 客户 端 会 话 , 只 要 恶意 无 线 客户 端 知道 对 方 的 
IP 地 址 ,并 向 其 发 送 一 个 包含 自己 MAC 地 址 00-00-86-01-02-0B 的 ARP 应 答 报 文 。 无 
线 客户 端 将 错误 地 认为 00-00-86-01-02-0B 就 是 目标 主机 的 MAC 地 址 ,此 时 无 线 客户 端 
的 所 有 报 文 将 被 劫持 到 恶意 无 线 客户 端 。 如 果 恶 意 无 线 客户 端 希 望 劫持 位 于 另 一 网 段 
内 IP 地 址 为 192. 168. 0. 2 的 无 线 客 户 端 会 话 , 则 必须 向 路 由 器 发 送 伪造 的 MAC 地 址 
00-00-86-01-02-0B 使 路 由 器 ARP 缓存 表 错 误 地 将 无 线 客户 端的 IP 地 址 192. 168. 0. 2 
映射 成 00-00-86-01-02-0B, 路 由 器 会 将 无 线 客户 端 发 送 的 所 有 报 文 错误 地 转发 到 恶意 无 
线 客户 端 。 


IP:192.168.0.0 IP:192.168.0.2 
MAC:00-00-86-01-02-0A MAC:00-00-86-01-02-0C 


导 、 全 


无 线 客户 端 ~ 信 、 无 线 AP 无 线 AP /人 7 先 线 客户 端 


-on | [mm 
S ~ 二 
会 话 动 持 和 SN 
一 ~ 全 
恶意 帮 户 端 La 防火 墙 
IP:192.168.0.1 — 
MAC:00-00-86-01-02-0B 路 由 器 @ [| 


IP:192.168.0.3 
MAC:00-00-86-01-02-0D 


图 8-13 同一 网 段 及 不 同 网 段 WLAN 劫持 过 程 


目前 网 络 上 存在 大 量 免费 的 会 话 支持 软件 ,甚至 有 些 支持 软件 还 提供 源 代码 ,只 要 
在 搜索 引擎 中 输入 关键 词 ARP Spoof 就 可 以 发 现 众 多 的 劫持 软件 。 例 如 , Dsniffer、 
Bktspibdc、WCI、ARP0C2、Hunt、Fake、ARPtool 等 都 是 典型 的 ARP 会 话 劫持 软件 。 从 
无 线 局 域 网 会 话 劫持 的 原理 可 以 看 出 ,能 够 实现 会 话 劫持 的 前 提 是 ARP 协议 使 用 了 动 
态 绑 定 机 制 。 因 此 ,只 要 采用 静态 ARP 缓存 表 就 可 以 有 效 地 防止 这 种 会 话 劫持 攻击 ,但 
手工 维护 大 量 的 静态 MAC 地 址 会 给 安全 管理 增加 额外 的 维护 负担 。 
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8. EAP 协议 和 802. 11i 标准 


802. 1x 认证 框架 包含 在 802. 11i 标准 的 MAC 层 安 全 性 增强 草案 中 。802. 1x 框架 


为 链 路 层 提供 了 扩展 的 认证 能 力 , 可 以 由 高 层 协议 


调用 。EAP 是 一 种 高 层 协议 ,是 Cisco 公司 的 专 有 ”| 高 层 协议 re 
协议 。 网 络 层 协议 在 链 路 上 传输 之 前 , WEP 允许 和 1 
认证 对 端 协商 认证 协议 。 图 8-14 说 明了 这 些 层次 之 第 2 层 协 议 TT aor 
间 的 关系 。 1 
EAP 在 RFC 2284 中 定义 用 于 提供 强健 的 、 易 801.11 | 链 路 层 
部 署 和 易于 管理 的 无 线 安全 。Cisco 公司 提供 对 第 物理 层 
三 方 NIC 以 及 RADIUS 支持 ,使 得 用 户 可 以 使 用 现 。 OSI 参考 模型 
有 的 无 线 网 络 投资 。 图 8-15 说 明了 使 用 EAP 协议 图 8-14 802.1x 认证 框架 
和 RADIUS 进行 认证 的 过 程 。 
工作 站 (AP) WADI 
(1) 信号 
(2) EAP 开 始 
(G3) EAP 请求 (身份 ) 
(4) EAP 响应 
(5) RADIUS 请 求 (用 户 名 ) 
(6) RADIUS 响应 
(7) EAP 响 应 (质询 ) 
(8) RADIUS 质询 响应 
(9) RADIUS 响应 
(10) RADIUS 接受 
(11) EAP 成 功 
(12) 发 送 请 求 


8-15 ”采用 RADIUS 的 认证 框架 


从 图 8-15 中 可 知 ,认证 过 程 由 多 个 步骤 构成 。 


(1) 无 线 工作 站 确定 从 AP 发 出 的 信号 中 支持 802. 11i。 


(2) 工作 站 使 用 EAP 帧 开始 会 话 。 
(3) AP 向 工作 站 发 送 EAP 身份 请 求 消息 。 


(4) 工作 站 发 送 EAP 响应 (其 中 包含 工作 站 ID)。 


(5) AP 向 RADIUS 服务 器 转发 数据 分 组 ( 含 工作 站 ID) 。 
(6) RADIUS 向 AP 发 送 响应 ,其 中 包含 质询 (EAP 认证 类 型 ) 。 


(7) AP 向 工作 站 转发 质询 。 
(8) 工作 站 发 送 质询 响应 ( 含 EAP 类 型 ) 。 
(9) AP 向 RADIUS 服务 器 转发 响应 。 
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(10) RADIUS 服务 器 向 AP 发 送 接 受 消息 。 

(11) AP 向 工作 站 转发 EAP 成 功 消息 。 

(12) 工作 站 准备 数据 传输 。 

此 时 建议 可 采用 VPN、IPSec、SSH 等 加 密 客户 端 和 服务 器 端 所 有 数据 的 机 制 可 以 
为 EAP 提供 更 强 的 事务 安全 性 ,这 些 机 制 又 增加 了 一 个 安全 层次 。 

网 络 管理 员 必须 尽 可 能 地 保证 WLAN 部 署 的 安全 ,明确 802. 11 标准 的 安全 缺陷 。 
采用 Cisco 无 线 安全 套件 可 以 增强 安全 性 ,有 助 于 建立 安全 的 WLAN。 


823 无 线 局 域 网 安全 解决 方案 


合理 保护 无 线 访问 点 的 目的 在 于 ,将 无 线 网 络 与 无 权 使 用 服务 的 外 人 隔离 开 来 。 就 
安全 而 言 ,无 线 网 络 通常 比 固定 有 线 网 络 更 难保 护 , 这 是 因为 有 线 网 络 的 固定 物理 访问 
点 数量 有 限 ,而 在 天 线 辐射 范围 内 的 任何 一 点 都 可 以 使 用 无 线 网 络 。 尽 管 本 身 存在 着 困 
难 ,但 合理 保护 无 线 网 络 系统 是 保护 系统 避免 严重 安全 问题 的 关键 所 在 。 


1. 无 线 局 域 网 安全 策略 


在 使 用 了 802. 1x、.EAP、AES 和 TKIP 之 后 ,还 需要 了 解 其 中 的 一 些 问题 ,这 些 是 建 
立 安全 WLAN 网 络 环境 必需 的 。 首 先 ,IEEE 802. 11i 工作 小 组 所 建立 的 TKIP, 是 为 了 
快速 修正 WEP 的 严重 问题 。TKIP 在 算法 上 与 WEP 相同 ,也 是 使 用 RC4 算法 ,但 这 种 
算法 并 不 是 最 理想 的 选择 。 使 用 AES 能 把 原来 的 问题 解决 得 更 好 ,但 是 AES 无 法 与 原 
有 的 802. 11 架构 兼容 ,需要 升级 软 硬 件 。 第 二 ,一 些 新 的 协议 .技术 的 加 入 ,与 原 有 
802. 11 混合 在 一 起 ,使 得 整个 网 络 结构 更 加 复杂 ,同时 也 增加 了 处 理 的 负担 ,导致 网 络 性 
能 降低 。 新 的 技术 让 生产 厂商 和 网 络 用 户 有 更 多 的 可 选择 性 ,但 同时 也 带 来 了 兼容 性 的 
问题 。 第 三 ,对 于 用 户 来 说 ,在 购买 设备 之 前 ,需要 了 解 产 品 能 提供 什么 样 的 功能 ,有 什 
么 样 的 兼容 性 的 要 求 。 例 如 ,从 公司 A 购买 了 AP, 然 后 从 公司 B 和 公司 C 购买 了 无 线 
网 卡 , 很 可 能 存在 因 兼容 性 导致 某 些 功 能 无 法 使 用 的 问题 。 

从 企业 角度 而 言 , 随 着 无 线 网 络 应 用 的 推进 ,企业 需要 更 加 注重 无 线 网 络 安全 的 问 
题 , 针 对 不 同 的 用 户 需 求 ,提出 一 系列 不 同 级 别 的 无 线 安全 技术 策略 。 从 传统 的 WEP 加 
密 到 IEEE 802. 11i, 从 MAC 地 址 过 滤 到 IEEE 802. 1x 安全 认证 技术 ,要 分 别 考虑 能 满 
足 单一 的 家 庭 用 户 ,大 中 型 企业 .运营 商 等 不 同 级 别 的 安全 需求 。 

对 于 小 型 企业 和 家 庭 用 户 而 言 ,无 线 接 人 用 户 数 量 比较 少 ,一 般 没 有 专业 的 IT 管理 
人 员 ,对 网 络 安全 性 的 要 求 相对 较 低 。 通 常情 况 下 不 会 配备 专用 的 认证 服务 器 ,这 种 情 
况 下 ,可 直接 采用 AP 进行 认证 ,WPA-PSK 十 接 入 点 隐藏 可 以 保证 基本 的 安全 级 别 。 

在 仓库 物流 、 医 院 .学校 等 环境 中 ,考虑 到 网 络 覆盖 范围 以 及 终端 用 户 数量 ,AP 和 无 
线 网 卡 的 数量 必 将 大 大 增加 ,同时 由 于 使 用 的 用 户 较 多 ,安全 隐患 也 相应 增加 ,此 时 简单 
的 WPA-PSK 十 已 经 不 能 满足 此 类 用 户 的 需求 。 如 表 8-3 中 所 示 的 中 级 安全 方案 使 用 支 
持 IEEE 802. 1x 认证 技术 的 AP 作为 无 线 网 络 的 安全 核心 .并 通过 后 台 的 RADIUS 服务 
器 进行 用 户 身份 验证 ,有 效 地 阻止 未 经 授权 的 用 户 接 入 。 

在 各 类 公共 场合 以 及 网 络 运 营 商 ,大 中 型 企业 、 金 融 机 构 等 环境 中 ,有 些 用 户 需 要 在 
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热点 公共 地 区 (如 机 场 ,. 咖 啡 店 等 ) 通 过 无 线 接 人 Internet, 因 此 用 户 认证 问题 就 显得 至 关 
重要 。 如 果 不 能 准确 可 靠 地 进行 用 户 认 证 ,就 有 可 能 造成 服务 次 用 的 问题 ,这 种 服务 盗 
用 对 于 无 线 接 人 服务 提供 商 来 说 是 不 可 接受 的 损失 , 表 8-3 中 专业 级 解决 方案 可 以 较 好 
地 满足 用 户 需 求 , 通 过 用 户 隔离 技术 、IEEE 802. 1i、RADIUS 的 用 户 认 证 以 及 计 费 方式 
确保 用 户 的 安全 。 

如 表 8-3 所 示 ,目前 采用 WLAN 可 以 部 署 三 种 不 同 级 别 的 WLAN 安全 措施 : 基本 
安全 ,增强 安全 和 专业 安全 。 像 所 有 其 他 有 关 安 全 的 部 署 一 样 ,在 选择 和 部 署 任何 一 种 
WLAN 安全 解决 方案 之 前 先进 行 网 络 风险 评估 。 


表 8-3 三 种 无 线 网 络 安全 级 别 比 较 


安全 级 别 典型 场合 使 用 技术 

基本 安全 小 型 企业 ,家 庭 用 户 等 WPA-PSK 十 接 入 点 隐藏 

增强 安全 仓库 物流 医院、 学 校 , 餐 饮 娱 乐 IEEE 802. 1x 认证 十 TKIP 加 密 

专业 级 安全 各 类 公共 场合 及 网 络 运 营 商 .大 中 用 户 隔 离 技 术 十 IEEE 802. 11i 十 
型 企业 ,金融 机 构 RADIUS 认证 和 计 费 (对 运营 商 ) 


2. 增强 安全 解决 方案 


增强 安全 解决 方案 利用 针对 每 个 用 户 ,每 个 会 话 的 动态 WEP 密 钥 来 阻止 未 经 授权 
的 网 络 访问 。 该 解决 方案 建立 在 802. 1x 身份 认证 框架 和 EAP 的 基础 之 上 ,可 以 提供 基 
于 用 户 的 身份 认证 。 它 弥补 了 第 一 代 静 态 WEP 密 钥 和 基本 安全 保护 的 所 有 不 足 。 

部 署 大 规模 的 企业 WLAN ,网 络 管理 员 需 要 可 扩展 的 .轻松 的 管理 方案 ,以 避免 加 重 
人 员 的 工作 负担 。 增 强 的 安全 保护 可 以 提供 一 个 这 样 的 解决 方案 ,同时 还 可 以 阻止 各 种 
精心 策划 的 被 动 或 者 主动 的 WLAN 攻击 ,消除 对 于 管理 静态 WEP 密 钥 的 需要 。 这 种 强 
大 的 企业 级 WLAN 安全 解决 方案 可 以 将 服务 质量 和 移动 性 集成 到 它 的 框架 之 中 ,从 而 
可 以 支持 一 组 更 加 丰富 的 企业 级 应 用 。 

思科 的 无 线 安全 套件 采用 了 一 种 增强 的 安全 解决 方案 。 思 科 扩 展 了 EAP, 创 建 了 
Cisco LEAP. 它 也 被 称 为 EAP Cisco Wireless。 思 科 无 线 安全 套件 的 企业 级 安全 架构 包 
括 双向 身份 认证 ,消息 完整 性 检查 (MIC) .逐个 分 组 密 钥 散 列 、 基 于 策略 的 密 钥 旋转 、 初 
始 化 向 量 (VID) 变 化 以 及 远程 拨号 用 户 认 证 服务 (RADIUS) 记 账 记录 的 可 用 性 。 


3. 专业 安全 解决 方案 


在 某 些 情况 下 ,企业 可 能 需要 端 到 端的 安全 性 来 保护 他 们 的 业务 应 用 。 管 理 员 可 以 
利用 专业 安全 保护 建立 一 个 虚拟 专用 网 (VPN) ,让 身 处 公共 场所 (例如 机 场 和 宾馆 ) 的 移 
动用 户 可 以 通过 隧道 访问 企业 网 络 。 为 了 建立 一 个 安全 的 VPN ,管理 员 必须 特别 注意 隧 
道 .加 密 、 分 组 完整 性 .防火 墙 , 用 户 和 设备 认证 以 及 网 络 管理 等 。 这 个 解决 方案 需要 一 
个 VPN 终端 。 

大 多 数 用 户 都 不 需要 在 他 们 的 内 联网 中 部 署 一 个 专业 安全 WLAN。 有 些 特殊 行业 ， 
例如 需要 采取 广泛 的 安全 措施 的 金融 机 构 , 可 能 需要 部 署 专业 安全 解决 方案 和 增强 的 安 
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全 方案 。 但 是 对 于 绝 大 多 数 用 户 的 网 络 来 说 ,思科 无 线 安全 套件 所 提供 的 安全 更 加 适 
用 ,因为 它 可 以 避免 建立 VPN 所 需要 的 开支 和 费用 。 

1) 思科 解决 方案 概述 

思科 的 SAFE 蓝图 可 以 利用 EAP Cisco Wireless 和 VPN 部 署 一 个 专业 安全 解决 方 
案 的 网 络 设计 人 员 提 供 指 导 。SAFE 蓝图 是 一 种 模块 化 的 方法 ,可 以 有 效 地 保障 那些 指 
定 了 安全 设计 .部署 和 管理 流程 的 WLAN 网 络 的 安全 。 图 8-16 是 利用 思科 无 线 安全 套 
件 实现 EAP Cisco Wireless 双向 认证 和 集中 式 WEP 密 钥 管 理 的 构架 。 

RADIUS 服务 器 
EAP Cisco Wireless 身 份 认 证 
和 动态 WEP 密 钥 生成 


2. 访问 点 阻 断 所 有 访问 全 
LAN 的 用 户 请 求 


1. 客户 端 连 接 访问 点 


o Wireless ”访问 交换 机 


装 有 EAP Cisc 


装 有 EAP Cisco Wireless 的 访问 点 
的 移动 计算 机 
RADIUS 服务 器 
3. 用 户 登 录 网 络 三 


(用 户 名 和 密码 ) 4. RADIUS 服务 器 对 用 户 进行 身份 认证 


RADIUS 服务 器 和 客户 端 适配器 获得 WEP 密 钥 


9 


装 有 EAP Cisco Wireless ”访问 交换 机 


人 Yy 
> 的 访问 点 
4 1 ; ， 网 
装 有 0 , 5. RADIUS 服务 器 向 访问 点 发 送 密 钥 


6. 客户 端 适配器 和 访问 点 启用 WEP， 
利用 动态 WEP 密 钥 进行 传输 


图 8-16 思科 无 线 安全 解决 方案 


利用 双向 认证 和 动态 WEP 密 钥 ,新 的 思科 无 线 安全 套件 为 企业 局 域 网 管理 员 们 提 
供 了 将 无 线 技术 引入 网 络 所 需要 的 信心 。 它 的 高 度 的 灵活 性 使 网 络 管理 人 员 可 以 自行 
选择 自己 需要 的 保护 等 级 ,并 且 非 常 牢固 ,足以 提供 一 个 安全 框架 ,并 围绕 这 个 框架 建立 
整个 安全 解决 方案 。 它 的 安全 管理 非常 方便 ,因而 不 会 加 重 IT 人 员 的 管理 负担 。 

一 个 用 户 要 想 安全 地 连接 到 思科 无 线 安全 套件 只 需要 一 个 Cisco Aironet 系列 
WLAN 客户 端 适 配器 (访问 卡 ), 启 用 了 安全 特性 的 新 型 Cisco Aironet 客户 端 工具 
(ACU) 以 及 针对 特定 的 覆盖 区 域 的 服务 集 标 识 符 (SSID)。WLAN 基础 设施 包括 一 个 运 
行 着 思科 无 线 安全 套件 的 Cisco Aironet 系列 访问 点 和 一 个 认证 ,授权 和 记 账 (AAA) 
RADIUS 服务 器 。 只 需 单 击 一 个 按钮 ,文件 就 可 以 从 员工 的 计算 机 ,通过 Cisco Aironet 
WLAN 客户 端 适配器 发 送 到 运行 着 思科 无 线 安全 套件 并 连接 到 RADIUS 服务 器 的 
Cisco Aironet 访问 点 。 整 个 过 程 没有 任何 不 便 , 非 常安 全 。 
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思科 无 线 安 全 套件 的 另外 一 个 附加 特性 是 能 够 为 每 个 客户 端 进 程 生 成 详细 的 
RADIUS 记 账 记录 。 这 些 记 录 可 以 被 发 送 到 AAA 服务 器 ,用 于 记录 、 审 计 和 针对 
WLAN 的 使 用 收取 费用 。 企 业 还 可 以 利用 这 些 数据 审查 账目 。 

利用 思科 无 线 安全 套件 ,网 络 管理 人 员 可 以 部 署 一 个 能 够 提供 强大 的 企业 级 WLAN 
安全 的 无 线 解决 方案 。 这 个 解决 方案 包括 了 很 多 来 自 于 802. 11 标准 的 建议 ,该 标准 重 
新 定义 了 WLAN 怎样 阻止 那些 对 于 基于 静态 WEP 的 系统 来 说 非常 有 效 的 攻击 。 

思科 的 客户 端 适 配器 和 访问 点 拥有 各 种 支持 动态 WEP 密 钥 生 成 ,双向 认证 的 增强 
特性 ,以 及 思科 无 线 安全 套件 的 其 他 一 些 优点 。 在 采用 了 思科 基础 设施 、 客 户 端 卡 、 固 
件 /驱动 器 /工具 和 RADIUS 服务 器 ,并 且 启用 了 思科 无 线 安 全 套件 以 后 ,就 可 以 全 面 实 
施 下 列 安全 措施 。 

利用 Cisco Aironet 的 密 钥 旋转 系统 ,WLAN 可 以 支持 针对 用 户 、 针 对 会 话 的 密 钥 和 
广播 密 钥 。 单 播 密 钥 的 重 置 超时 策略 在 思科 安全 ACS( 基 于 Windows) 或 者 Cisco AR 
(基于 UNIX) 集 中 配置 。 这 个 密 钥 旋 转 过 程 对 于 用 户 来 说 是 透明 的 。 网 络 管理 人 员 可 以 
在 访问 点 配置 组 播 密 钥 旋转 策略 。 

2) EAP Cisco Wireless 优点 

Cisco Aironet 产品 支持 IEEE 802. 1x 标准 框架 和 EAP 以 及 EAP 认证 类 型 ,例如 
EAP-TLS 和 EAP Cisco Wireless。 与 基本 的 EAP 相 比 ,EAP Cisco Wireless 具有 两 个 
重要 的 优点 。 

(1) 客户 端 和 RADIUS 服务 器 之 间 的 双向 认证 机 制 , 这 可 以 有 效 地 阻止 由 伪装 的 访 
间 点 发 动 的 “中 间 人 ” 式 攻击 。 这 也 有 助 于 确保 只 有 合法 的 客户 端 才能 连接 合法 的 、 经 过 
授权 的 无 线 访问 点 。 

(2) 对 WLAN 的 集中 式 密 钥 管理 。 在 成 功 地 认证 了 客户 端的 身份 以 后 , RADIUS 
服务 器 和 客户 端 将 获得 一 个 针对 用 户 的 WEP 密 钥 ,客户 端 将 在 本 次 登录 会 话 中 使 用 这 
个 密 钥 。 

3) 思科 无 线 安全 套件 的 攻击 防范 

思科 解决 方案 可 以 阻止 各 种 攻击 。 该 解决 方案 可 以 防范 AirSnort 攻击 和 强力 攻击 、 
通过 丢失 或 者 被 盗 的 设备 发 动 的 入 侵 、 中 间 人 攻击 、 利 用 针对 分 组 的 密 钥 散 列 阻止 
“Weak IV” 式 攻击 以 及 重复 攻击 。 

(1) AirSnort 攻击 。 

思科 无 线 安全 套件 可 以 通过 提供 针对 分 组 的 密 钥 散 列 以 及 针对 主动 的 重 置 密 钥 的 
集中 式 策略 配置 阻止 “Weak IV” 式 攻击 。 这 些 特性 可 以 防止 黑客 利用 Weak IV” 获 得 足 
够 多 的 分 组 以 破解 密 钥 。 

(2) 强力 攻击 。 

尽管 在 理论 上 存在 可 能 性 ,但 是 实际 上 强力 攻击 非常 难以 发 起 ,实际 上 也 不 会 产生 
任何 效果 ,这 要 归功 于 Cisco Aironet 针对 用 户 、 针 对 会 话 的 动态 WEP 密 钥 和 频繁 的 重 
置 密 钥 功能 。 而 其 他 使 用 基于 动态 WEP 的 系统 的 厂商 则 很 容易 受到 这 种 攻击 的 威胁 。 

(3) 通过 丢失 或 者 被 盗 的 设备 发 动 的 攻击 。 

思科 无 线 安全 套件 可 以 最 大 限度 地 降低 由 于 损失 设备 和 网 络 接口 卡 (NIC) 而 带 来 的 
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风险 。 在 基于 802. 1x 的 架构 中 ,思科 的 认证 对 象 是 用 户 ,而 不 是 NIC 卡 。 

(4) 中 间 人 攻击 。 

这 种 攻击 可 能 是 主动 式 或 者 被 动 式 的 。Cisco Aironet 的 双向 认证 机 制 (EAP Cisco 
Wireless) 可 以 阻止 这 种 攻击 。 企 业 可 以 放心 地 部 署 思科 解决 方案 ,而 无 须 担心 来 自 伪装 
的 访问 点 的 威胁 。 用 户 密码 和 会 话 密 钥 在 无 线 链 路 上 决 不 会 用 明文 传送 。 在 这 种 情况 
下 ,无 须 管理 员 干预 ,终端 用 户 就 可 以 自动 获得 一 个 独特 的 会 话 密 钥 ,从 而 以 一 种 加 密 的 
方式 获得 对 网 络 的 访问 。 管 理 员 可 以 通过 安排 他 们 的 WLAN ,根据 他 们 的 需要 ,每 隔 一 
段 时 间 重 新 进行 一 次 身份 认证 。 

IEEE 802. 11 安全 任务 组 (TGi) 已 经 将 802. 1x 和 EAP 集成 到 了 它 的 基本 安全 框架 
中 。 在 启用 了 这 些 802. 1x 安全 特性 以 后 ,一 个 连接 到 某 个 访问 点 的 无 线 客户 端 只 有 在 
用 户 通 过 企业 RADIUS 服务 器 的 身份 认证 以 后 才能 获得 对 网 络 的 访问 权限 。 

很 多 第 三 方 AAA RADIUS 服务 器 现在 也 可 以 支持 Cisco Aironet 安全 框架 ,包括 对 
EAP Cisco Wireless 双向 认证 的 支持 。 这 些 服务 器 加 上 思科 安全 访问 控制 服务 器 (ACS) 
和 思科 访问 注册 器 (AR), 可 以 帮助 网 络 管理 员 灵 活 地 选择 后 端 服 务 ,而 不 需要 降低 
WLAN 的 安全 性 。 

(5) 利用 针对 分 组 的 密 钥 散 列 阻止 *“Weak IV” 式 攻击 。 

思科 无 线 安全 套件 可 以 阻止 很 多 类 型 的 攻击 ,其 中 包括 通过 分 析 一 串 使 用 相同 密 钥 
的 加 密 流量 中 的 多 个 不 安全 的 初始 化 向 量 而 发 动 的 “Weak IV? 式 攻击 。 利 用 客户 端 和 访 
问 点 都 支持 的 高 级 散 列 技术 ,WEP 密 钥 会 在 每 个 分 组 的 基础 上 动态 变化 ,从 而 有 效 地 阻 
止 这 种 攻击 。IV 和 WEP 密 钥 都 会 被 散 列 ,以 生成 一 个 独特 的 分 组 密 钥 ,这 可 以 防止 黑 
客 利用 不 安全 的 IV 获得 WEP 密 钥 。 

为 了 防止 利用 IV 冲突 而 发 动 的 攻击 ,必须 在 IV 发 生 重复 之 前 更 改 IV 密 钥 。 由 于 
在 一 个 繁忙 的 网 络 上 IV 可 能 会 几 个 小 时 重复 出 现 一 次 .所 以 管理 员 可 以 利用 像 EAP 
Cisco Wireless 这 样 的 机 制 进行 重 置 密 钥 操 作 。 

(6) 重复 攻击 。 

对 WEP 的 另外 一 个 担忧 是 它 对 重复 攻击 的 抵抗 能 力 。 思 科 无 线 安全 套件 可 以 执行 
消息 完整 性 检查 (MIC) 来 防止 WEP 帧 受到 修改 。Cisco Aironet WLAN 可 以 利用 MIC 
检测 并 丢弃 那些 在 传输 过 程 中 被 (恶意 ) 修 改 的 分 组 。 由 于 采用 了 MIC 的 Cisco Aironet 
产品 可 以 利用 消息 完整 性 检查 发 现 并 丢弃 被 修改 的 分 组 ,所 以 攻击 者 无 法 利用 位 切换 或 
者 主动 的 重复 攻击 来 欺骗 网 络 以 通过 身份 认证 。 


824 基本 安全 措施 


为 了 最 大 限度 地 堵 住 这 些 安 全 漏洞 ,对 于 没有 部 署 整体 无 线 网 络 安全 解决 方案 的 
WLAN ,就 要 确保 网 络 人 员 采 取保 护 无 线 网 络 的 以 下 措施 。 


1. 规划 天 线 的 放置 


要 部 署 封闭 的 无 线 访问 点 ,第 一 步 就 是 合理 放置 访问 点 的 天 线 , 以 便 能 够 限制 信号 
在 覆盖 区 以 外 的 传输 距离 。 不 要 将 天 线 放 在 窗户 附近 ,因为 玻璃 无 法 阻挡 信号 。 你 最 好 


将 天 线 放 在 需要 覆盖 的 
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区 域 的 中 心 , 尽 量 减少 信号 泄露 到 墙 外 。 当 然 ,完全 控制 信号 汇 


露 几乎 是 不 可 能 的 ,所 以 还 需要 采取 其 他 措施 (如 物理 保护 ) 。 


2. 使 用 WEP 


在 任何 可 用 的 地 方 启 用 无 线 加 密 帧 。 尽 管 存在 重大 缺陷 ,但 WEP 仍 有 助 于 阻挠 偶 
尔 间 入 的 黑客 。 许 多 无 线 访 问 点 厂商 为 了 方便 安装 产品 ,交付 设备 时 关闭 了 WEP 功能 。 
但 一 旦 采用 这 做 法 ,黑客 就 能 立即 访问 无 线 网 络 上 的 流量 ,因为 利用 无 线 嗅 探 器 就 可 以 


直接 读 取 数 据 。 


3. 变更 SSID 及 禁止 SSID 广播 


众所周知 ,服务 集 标 识 符 (SSID) 是 无 线 访问 点 使 用 的 识别 字符 串 , 客 户 端 利 用 它 就 
能 建立 连接 。 该 标识 符 由 设备 制造 商 设 定 ,还 有 一 些 厂 商 使 用 无 线 网 络 适 配器 的 半 个 
MAC 地 址 作为 默认 的 SSID,MAC 地 址 采用 十 六 进 制 数字 表示 ,长度 为 6 个 字 节 。 前 3 
个 字 节 是 IEEE 分 配给 厂商 的 唯一 标识 编码 OUI(organizationally unique identifier) ,后 
3 个 字 节 为 网 络 适配器 的 唯一 标识 编码 。 表 8-4 是 无 线 AP 主要 厂商 默认 的 SSID 和 
IEEE 分 配 的 MAC 地 址 OUI。 


表 8-4 无 线 AP 主要 厂商 默认 的 SSID 和 OUI 


厂商 名 称 默认 SSID OUIL 
Cisco tsunami 00-40-96 
Linksys linksys 00-04-5A 
TP-LINK Wireless 00-0A-EB 
ACCTON WLAN 00-00-E8 
Compaq Compaq 00-02-A5 
Intel Intel, xlan,101 00-02-B3 
AboveCable CTC 00-0D-08 
3Com 101 00-00-86 
Dell Wireless 00-06-5B 
SMC Networks WLAN 00-04-E2 
Aruba Aruba-AP 00-0B-86 


由 于 同一 厂商 的 OUI 是 完全 相同 ,因此 检索 或 推测 出 默认 的 SSID 并 不 是 一 件 困难 


的 事 。 此 外 ,著名 的 2600 黑客 杂志 网 站 收集 了 几乎 所 有 厂商 的 默认 SSI 和 WEP 密 钥 。 


倘若 黑客 知道 了 这 种 默认 的 SSID, 即 使 未 经 授权 ,也 很 容易 使 用 用 户 的 无 线 服务 。 对 于 
部 署 的 每 个 无 线 访问 点 而 言 ,要 选择 独一无二 并 且 很 难 猜 中 的 SSID。 如 果 可 能 的 话 , 禁 


止 通过 天 线 向 外 广播 该 标识 符 。 这 样 网 络 仍 可 使 用 .但 不 会 出 现在 可 用 网 络 列表 上 。 
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4. 禁用 DHCP 


对 无 线 网 络 而 言 ,这 很 有 意义 。 如 果 采 取 这 项 措施 ,黑客 不 得 不 破译 IP 地 址 、 子 网 
掩 码 及 其 他 所 需 的 TCP/IP 参数 。 无 论 黑客 怎样 利用 访问 点 , 仍 需 要 弄 清楚 IP 地 址 。 


5. 禁用 或 改动 SNMP 设置 


如 果 访 问 点 支持 SNMP, 要 么 禁用 ,要 么 改变 公开 及 专用 的 共用 字符 串 , 并 且 采 用 只 
读 方 式 。 如 果 不 采取 这 项 措施 ,黑客 就 能 利用 SNMP 获得 有 关 你 方 网 络 的 重要 信息 。 


6. 使 用 访问 列表 


为 了 进一步 保护 无 线 网 络 , 如 果 可 能 的 话 请 使 用 访问 列表 。 不 是 所 有 的 无 线 访 问 点 
都 支持 这 项 特性 ,但 如 果 网 络 支持 ,就 可 以 具体 地 指定 允许 哪些 机 器 连接 到 访问 点 。 支 
持 这 项 特性 的 访问 点 有 时 会 使 用 普通 文件 传输 协议 (TFTP) ,定期 下 载 更 新 的 列表 ,以 避 
免 管 理 员 必 须 在 每 台 设备 上 使 这 些 列表 保持 同步 的 棘手 问题 。 


83 网 络 安全 解决 实例 


从 目前 网 络 安全 厂商 所 提供 的 安全 解决 方案 来 看 , 现 有 解决 方案 具有 以 下 特征 。 
1. 解决 方案 的 整体 性 


现 有 解决 方案 基本 上 融合 了 防 / 杀 病 毒 、 防 火 墙 \ 信 息 加 密 、 安 全 认证 以 及 入 侵 检测 
和 网 络 安 全 评估 等 全 线 安全 产品 和 服务 ,在 此 基础 上 有 些 厂商 还 加 入 了 自己 开发 的 数据 
恢复 功能 。 


2. 构建 基于 企业 自身 的 核心 产品 和 技术 


为 了 突出 自身 产品 的 价值 和 地 位 , 现 有 解决 方案 提供 商 基本 上 是 以 自 有 产品 作为 解 
决 方案 的 核心 ,而 把 其 他 厂商 的 产品 作为 解决 方案 必 不 可 少 的 组 成 部 分 。 


3. 集中 于 特定 行业 


现 有 网 络 安全 解决 方案 所 面向 的 行业 主要 集中 于 金融 \ 证 券 . 电 信和 政府 部 门 ,有 些 
厂商 还 提出 了 面向 城 域 网 的 安全 解决 方案 .而 面向 广大 中 小 企业 级 的 解决 方案 则 相对 
较 少 。 


4. 安全 服务 已 成 为 解决 方案 的 重要 组 成 部 分 
在 现 有 网 络 安全 解决 方案 中 ,有 相当 数量 的 厂商 都 已 经 把 提供 安全 服务 作为 解决 方 
案 的 一 部 分 。 现 有 安全 服务 包括 两 种 形式 : 一 是 作为 产品 形式 而 存在 的 服务 ,如 网 络 安 


全 评估 、 系 统 安全 评估 等 ;二 是 专业 化 的 服务 ,包括 系统 设计 .用 户 培训 .系统 实施 .系统 
维护 等 。 为 用 户 提供 全 面 的 安全 服务 已 成 为 安全 产品 厂商 拓展 市 场 ,取得 可 持续 发 展 的 
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重要 赢利 模式 之 一 。 
831 校园 网 安全 解决 方案 


校园 网 已 成 为 各 高 等 院 校 信息 技术 的 基础 设施 ,是 学 校 可 持续 发 展 的 重要 保证 。 校 
园 网 总 体 上 分 为 校园 内 网 和 校园 外 网 。 校 园 内 网 主要 包括 教学 局 域 网 .图 书馆 局 域 网 、 
办 公 自 动 化 局 域 网 等 。 校 园 外 网 主要 指 学 校 提供 对 外 服务 的 服务 器 群 . 与 Internet 的 接 
入 以 及 远程 移动 办 公用 户 的 接 入 等 。 校 园 网 的 服务 器 群 构成 了 校园 网 的 服务 系统 ,主要 
包括 DNS、Web、FTP、MAIL、 视 频 点 播 、 教 学 平台 等 。 外 部 网 实现 了 校园 网 与 Internet 
的 基础 接 入 ,使 院 校 教员 和 学 生 能 使 用 电子 邮件 和 浏览 器 等 应 用 方式 ,在 教学 、 科 研 和 管 
理工 作 中 利用 国内 和 国际 网 进行 信息 交流 和 共享 。 校园 网 是 校内 外 信息 交流 的 窗口 ,也 
是 高 校 教学 .科研 和 行政 管理 不 可 缺少 的 重要 基础 设施 。 校 园 网 结构 开放 ,同时 与 教育 
网 和 Internet 相连 接 。 近 年 来 , 随 着 学 生 宿 舍 教 职 工 家 属 等 接 人 校园 网 后 ,网 络 规模 急 
剧 增 大 ,校园 网 用 户 组 成 复杂 ,用 户 水 平 参差 不 齐 , 其 中 不 乏 技 术 高 超 的 黑客 ,这 些 因素 
使 校园 网 的 维护 和 管理 变 得 十 分 困难 。 同 时 ,校园 网 络 的 应 用 水 平 也 在 不 断 提 高 。 规 模 
的 壮大 和 运用 水 平 的 提高 就 决定 了 校园 网 面临 的 隐患 也 相应 加 剧 。 由 此 可 见 ,构筑 网 络 
安全 防御 体系 是 非常 必要 的 。 


1. 校园 网 安全 隐患 分 析 


当前 校园 网 络 存在 的 安全 隐患 和 漏洞 有 如 下 几 点 。 

(1) 校园 网 通过 CERNET 与 Internet 相连 ,在 享受 Internet 方便 快捷 的 同时 ,也 面 
临 着 遭遇 攻击 的 风险 。 即 使 有 防火 墙 的 保护 ,由 于 技术 本 身 的 局 限 或 错误 配置 等 原因 ， 
仍 很 难保 证 校园 网 不 遭 到 黑客 攻击 。 

(2) 校园 网 内 部 也 存在 很 大 的 安全 隐患 .网络 设备 包括 服务 器 .交换 机 、 集 线 器 .路 由 
器 .工作 站 .电源 等 分 布 在 整个 校园 内 ,管理 起 来 非常 困难 。 由 于 内 部 用 户 对 网 络 的 结构 
和 应 用 模式 都 比较 了 解 ,因此 来 自 内 部 的 安全 威胁 更 大 一 些 。 现 在 ,黑客 攻击 工具 在 网 
上 泛滥 成 灾 ,大 学 生 的 好 奇 心 理 较 强 , 决 定 了 其 利用 这 些 工 具 进行 攻击 的 可 能 性 。 部 分 
学 生 可 能 出 于 各 种 目的 在 内 部 进行 恶意 操作 ,有 意 或 无 意 地 将 它们 损坏 ,经 常会 引发 内 
部 校园 网 安全 危机 ,往往 会 造成 校园 网 络 全 部 或 部 分 瘫痪 。 

(3) 目前 网 络 服务 器 安装 的 操作 系统 有 Windows NT/Windows 2000 .UNIX 、Linux 
等 ,这 些 系统 安全 风险 级 别 不 同 , 例 如 Windows NT/Windows 2000 的 普遍 性 和 可 操作 
性 使 得 它 也 是 最 不 安全 的 系统 ;UNIX 由 于 其 技术 的 复杂 性 导致 高 级 黑客 对 其 进行 攻 
击 , 这 都 对 原 有 网 络 安全 构成 威胁 。 

(4) 随 着 校园 内 计算 机 应 用 的 大 范围 普及 , 接 入 校园 网 节点 日 渐 增多 ,而 这 些 节点 大 
部 分 都 没有 采取 一 定 的 防护 措施 ,随时 有 可 能 造成 病毒 泛滥 信息 丢失 数据 损坏 、 网 络 
被 攻击 、 系 统 瘫痪 等 严重 后 果 。 例 如 ,一 些 只 对 校园 内 部 用 户 开 放 的 服务 ,常常 被 设置 后 
门 。 比 较 典 型 的 例子 ,高 校 数字 图 书馆 通常 都 限定 只 对 内 部 IP 开放 ,然而 有 的 学 生 会 在 
校内 安置 代理 程序 , 供 外 部 人 员 访 问 ,造成 学 校 信息 的 泄露 。 

(5) 内 部 用 户 对 Internet 的 非法 访问 威胁 ,如 浏览 黄色 、 暴 力 、 反 动 等 网 站 ,以 及 由 于 
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是 高 校 教学 .科研 和 行政 管理 不 可 缺少 的 重要 基础 设施 。 校 园 网 结构 开放 ,同时 与 教育 
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剧 增 大 ,校园 网 用 户 组 成 复杂 ,用 户 水 平 参差 不 齐 , 其 中 不 乏 技 术 高 超 的 黑客 ,这 些 因素 
使 校园 网 的 维护 和 管理 变 得 十 分 困难 。 同 时 ,校园 网 络 的 应 用 水 平 也 在 不 断 提 高 。 规 模 
的 壮大 和 运用 水 平 的 提高 就 决定 了 校园 网 面临 的 隐患 也 相应 加 剧 。 由 此 可 见 ,构筑 网 络 
安全 防御 体系 是 非常 必要 的 。 


1. 校园 网 安全 隐患 分 析 


当前 校园 网 络 存在 的 安全 隐患 和 漏洞 有 如 下 几 点 。 

(1) 校园 网 通过 CERNET 与 Internet 相连 ,在 享受 Internet 方便 快捷 的 同时 ,也 面 
临 着 遭遇 攻击 的 风险 。 即 使 有 防火 墙 的 保护 ,由 于 技术 本 身 的 局 限 或 错误 配置 等 原因 ， 
仍 很 难保 证 校园 网 不 遭 到 黑客 攻击 。 

(2) 校园 网 内 部 也 存在 很 大 的 安全 隐患 .网络 设备 包括 服务 器 .交换 机 、 集 线 器 .路 由 
器 .工作 站 .电源 等 分 布 在 整个 校园 内 ,管理 起 来 非常 困难 。 由 于 内 部 用 户 对 网 络 的 结构 
和 应 用 模式 都 比较 了 解 ,因此 来 自 内 部 的 安全 威胁 更 大 一 些 。 现 在 ,黑客 攻击 工具 在 网 
上 泛滥 成 灾 ,大 学 生 的 好 奇 心 理 较 强 , 决 定 了 其 利用 这 些 工 具 进行 攻击 的 可 能 性 。 部 分 
学 生 可 能 出 于 各 种 目的 在 内 部 进行 恶意 操作 ,有 意 或 无 意 地 将 它们 损坏 ,经 常会 引发 内 
部 校园 网 安全 危机 ,往往 会 造成 校园 网 络 全 部 或 部 分 瘫痪 。 

(3) 目前 网 络 服务 器 安装 的 操作 系统 有 Windows NT/Windows 2000 .UNIX 、Linux 
等 ,这 些 系统 安全 风险 级 别 不 同 , 例 如 Windows NT/Windows 2000 的 普遍 性 和 可 操作 
性 使 得 它 也 是 最 不 安全 的 系统 ;UNIX 由 于 其 技术 的 复杂 性 导致 高 级 黑客 对 其 进行 攻 
击 , 这 都 对 原 有 网 络 安全 构成 威胁 。 

(4) 随 着 校园 内 计算 机 应 用 的 大 范围 普及 , 接 入 校园 网 节点 日 渐 增多 ,而 这 些 节点 大 
部 分 都 没有 采取 一 定 的 防护 措施 ,随时 有 可 能 造成 病毒 泛滥 信息 丢失 数据 损坏 、 网 络 
被 攻击 、 系 统 瘫痪 等 严重 后 果 。 例 如 ,一 些 只 对 校园 内 部 用 户 开 放 的 服务 ,常常 被 设置 后 
门 。 比 较 典 型 的 例子 ,高 校 数字 图 书馆 通常 都 限定 只 对 内 部 IP 开放 ,然而 有 的 学 生 会 在 
校内 安置 代理 程序 , 供 外 部 人 员 访 问 ,造成 学 校 信息 的 泄露 。 

(5) 内 部 用 户 对 Internet 的 非法 访问 威胁 ,如 浏览 黄色 、 暴 力 、 反 动 等 网 站 ,以 及 由 于 
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部 校园 网 安全 危机 ,往往 会 造成 校园 网 络 全 部 或 部 分 瘫痪 。 

(3) 目前 网 络 服务 器 安装 的 操作 系统 有 Windows NT/Windows 2000 .UNIX 、Linux 
等 ,这 些 系统 安全 风险 级 别 不 同 , 例 如 Windows NT/Windows 2000 的 普遍 性 和 可 操作 
性 使 得 它 也 是 最 不 安全 的 系统 ;UNIX 由 于 其 技术 的 复杂 性 导致 高 级 黑客 对 其 进行 攻 
击 , 这 都 对 原 有 网 络 安全 构成 威胁 。 

(4) 随 着 校园 内 计算 机 应 用 的 大 范围 普及 , 接 入 校园 网 节点 日 渐 增多 ,而 这 些 节点 大 
部 分 都 没有 采取 一 定 的 防护 措施 ,随时 有 可 能 造成 病毒 泛滥 信息 丢失 数据 损坏 、 网 络 
被 攻击 、 系 统 瘫痪 等 严重 后 果 。 例 如 ,一 些 只 对 校园 内 部 用 户 开 放 的 服务 ,常常 被 设置 后 
门 。 比 较 典 型 的 例子 ,高 校 数字 图 书馆 通常 都 限定 只 对 内 部 IP 开放 ,然而 有 的 学 生 会 在 
校内 安置 代理 程序 , 供 外 部 人 员 访 问 ,造成 学 校 信息 的 泄露 。 

(5) 内 部 用 户 对 Internet 的 非法 访问 威胁 ,如 浏览 黄色 、 暴 力 、 反 动 等 网 站 ,以 及 由 于 
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校园 网 已 成 为 各 高 等 院 校 信息 技术 的 基础 设施 ,是 学 校 可 持续 发 展 的 重要 保证 。 校 
园 网 总 体 上 分 为 校园 内 网 和 校园 外 网 。 校 园 内 网 主要 包括 教学 局 域 网 .图 书馆 局 域 网 、 
办 公 自 动 化 局 域 网 等 。 校 园 外 网 主要 指 学 校 提供 对 外 服务 的 服务 器 群 . 与 Internet 的 接 
入 以 及 远程 移动 办 公用 户 的 接 入 等 。 校 园 网 的 服务 器 群 构成 了 校园 网 的 服务 系统 ,主要 
包括 DNS、Web、FTP、MAIL、 视 频 点 播 、 教 学 平台 等 。 外 部 网 实现 了 校园 网 与 Internet 
的 基础 接 入 ,使 院 校 教员 和 学 生 能 使 用 电子 邮件 和 浏览 器 等 应 用 方式 ,在 教学 、 科 研 和 管 
理工 作 中 利用 国内 和 国际 网 进行 信息 交流 和 共享 。 校园 网 是 校内 外 信息 交流 的 窗口 ,也 
是 高 校 教学 .科研 和 行政 管理 不 可 缺少 的 重要 基础 设施 。 校 园 网 结构 开放 ,同时 与 教育 
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剧 增 大 ,校园 网 用 户 组 成 复杂 ,用 户 水 平 参差 不 齐 , 其 中 不 乏 技 术 高 超 的 黑客 ,这 些 因素 
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的 壮大 和 运用 水 平 的 提高 就 决定 了 校园 网 面临 的 隐患 也 相应 加 剧 。 由 此 可 见 ,构筑 网 络 
安全 防御 体系 是 非常 必要 的 。 


1. 校园 网 安全 隐患 分 析 


当前 校园 网 络 存在 的 安全 隐患 和 漏洞 有 如 下 几 点 。 
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和 应 用 模式 都 比较 了 解 ,因此 来 自 内 部 的 安全 威胁 更 大 一 些 。 现 在 ,黑客 攻击 工具 在 网 
上 泛滥 成 灾 ,大 学 生 的 好 奇 心 理 较 强 , 决 定 了 其 利用 这 些 工 具 进行 攻击 的 可 能 性 。 部 分 
学 生 可 能 出 于 各 种 目的 在 内 部 进行 恶意 操作 ,有 意 或 无 意 地 将 它们 损坏 ,经 常会 引发 内 
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(4) 随 着 校园 内 计算 机 应 用 的 大 范围 普及 , 接 入 校园 网 节点 日 渐 增多 ,而 这 些 节点 大 
部 分 都 没有 采取 一 定 的 防护 措施 ,随时 有 可 能 造成 病毒 泛滥 信息 丢失 数据 损坏 、 网 络 
被 攻击 、 系 统 瘫痪 等 严重 后 果 。 例 如 ,一 些 只 对 校园 内 部 用 户 开 放 的 服务 ,常常 被 设置 后 
门 。 比 较 典 型 的 例子 ,高 校 数字 图 书馆 通常 都 限定 只 对 内 部 IP 开放 ,然而 有 的 学 生 会 在 
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园 网 总 体 上 分 为 校园 内 网 和 校园 外 网 。 校 园 内 网 主要 包括 教学 局 域 网 .图 书馆 局 域 网 、 
办 公 自 动 化 局 域 网 等 。 校 园 外 网 主要 指 学 校 提供 对 外 服务 的 服务 器 群 . 与 Internet 的 接 
入 以 及 远程 移动 办 公用 户 的 接 入 等 。 校 园 网 的 服务 器 群 构成 了 校园 网 的 服务 系统 ,主要 
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理工 作 中 利用 国内 和 国际 网 进行 信息 交流 和 共享 。 校园 网 是 校内 外 信息 交流 的 窗口 ,也 
是 高 校 教学 .科研 和 行政 管理 不 可 缺少 的 重要 基础 设施 。 校 园 网 结构 开放 ,同时 与 教育 
网 和 Internet 相连 接 。 近 年 来 , 随 着 学 生 宿 舍 教 职 工 家 属 等 接 人 校园 网 后 ,网 络 规模 急 
剧 增 大 ,校园 网 用 户 组 成 复杂 ,用 户 水 平 参差 不 齐 , 其 中 不 乏 技 术 高 超 的 黑客 ,这 些 因素 
使 校园 网 的 维护 和 管理 变 得 十 分 困难 。 同 时 ,校园 网 络 的 应 用 水 平 也 在 不 断 提 高 。 规 模 
的 壮大 和 运用 水 平 的 提高 就 决定 了 校园 网 面临 的 隐患 也 相应 加 剧 。 由 此 可 见 ,构筑 网 络 
安全 防御 体系 是 非常 必要 的 。 


1. 校园 网 安全 隐患 分 析 


当前 校园 网 络 存在 的 安全 隐患 和 漏洞 有 如 下 几 点 。 

(1) 校园 网 通过 CERNET 与 Internet 相连 ,在 享受 Internet 方便 快捷 的 同时 ,也 面 
临 着 遭遇 攻击 的 风险 。 即 使 有 防火 墙 的 保护 ,由 于 技术 本 身 的 局 限 或 错误 配置 等 原因 ， 
仍 很 难保 证 校园 网 不 遭 到 黑客 攻击 。 

(2) 校园 网 内 部 也 存在 很 大 的 安全 隐患 .网络 设备 包括 服务 器 .交换 机 、 集 线 器 .路 由 
器 .工作 站 .电源 等 分 布 在 整个 校园 内 ,管理 起 来 非常 困难 。 由 于 内 部 用 户 对 网 络 的 结构 
和 应 用 模式 都 比较 了 解 ,因此 来 自 内 部 的 安全 威胁 更 大 一 些 。 现 在 ,黑客 攻击 工具 在 网 
上 泛滥 成 灾 ,大 学 生 的 好 奇 心 理 较 强 , 决 定 了 其 利用 这 些 工 具 进行 攻击 的 可 能 性 。 部 分 
学 生 可 能 出 于 各 种 目的 在 内 部 进行 恶意 操作 ,有 意 或 无 意 地 将 它们 损坏 ,经 常会 引发 内 
部 校园 网 安全 危机 ,往往 会 造成 校园 网 络 全 部 或 部 分 瘫痪 。 

(3) 目前 网 络 服务 器 安装 的 操作 系统 有 Windows NT/Windows 2000 .UNIX 、Linux 
等 ,这 些 系统 安全 风险 级 别 不 同 , 例 如 Windows NT/Windows 2000 的 普遍 性 和 可 操作 
性 使 得 它 也 是 最 不 安全 的 系统 ;UNIX 由 于 其 技术 的 复杂 性 导致 高 级 黑客 对 其 进行 攻 
击 , 这 都 对 原 有 网 络 安全 构成 威胁 。 

(4) 随 着 校园 内 计算 机 应 用 的 大 范围 普及 , 接 入 校园 网 节点 日 渐 增多 ,而 这 些 节点 大 
部 分 都 没有 采取 一 定 的 防护 措施 ,随时 有 可 能 造成 病毒 泛滥 信息 丢失 数据 损坏 、 网 络 
被 攻击 、 系 统 瘫痪 等 严重 后 果 。 例 如 ,一 些 只 对 校园 内 部 用 户 开 放 的 服务 ,常常 被 设置 后 
门 。 比 较 典 型 的 例子 ,高 校 数字 图 书馆 通常 都 限定 只 对 内 部 IP 开放 ,然而 有 的 学 生 会 在 
校内 安置 代理 程序 , 供 外 部 人 员 访 问 ,造成 学 校 信息 的 泄露 。 

(5) 内 部 用 户 对 Internet 的 非法 访问 威胁 ,如 浏览 黄色 、 暴 力 、 反 动 等 网 站 ,以 及 由 于 
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安全 防御 体系 是 非常 必要 的 。 


1. 校园 网 安全 隐患 分 析 


当前 校园 网 络 存在 的 安全 隐患 和 漏洞 有 如 下 几 点 。 

(1) 校园 网 通过 CERNET 与 Internet 相连 ,在 享受 Internet 方便 快捷 的 同时 ,也 面 
临 着 遭遇 攻击 的 风险 。 即 使 有 防火 墙 的 保护 ,由 于 技术 本 身 的 局 限 或 错误 配置 等 原因 ， 
仍 很 难保 证 校园 网 不 遭 到 黑客 攻击 。 

(2) 校园 网 内 部 也 存在 很 大 的 安全 隐患 .网络 设备 包括 服务 器 .交换 机 、 集 线 器 .路 由 
器 .工作 站 .电源 等 分 布 在 整个 校园 内 ,管理 起 来 非常 困难 。 由 于 内 部 用 户 对 网 络 的 结构 
和 应 用 模式 都 比较 了 解 ,因此 来 自 内 部 的 安全 威胁 更 大 一 些 。 现 在 ,黑客 攻击 工具 在 网 
上 泛滥 成 灾 ,大 学 生 的 好 奇 心 理 较 强 , 决 定 了 其 利用 这 些 工 具 进行 攻击 的 可 能 性 。 部 分 
学 生 可 能 出 于 各 种 目的 在 内 部 进行 恶意 操作 ,有 意 或 无 意 地 将 它们 损坏 ,经 常会 引发 内 
部 校园 网 安全 危机 ,往往 会 造成 校园 网 络 全 部 或 部 分 瘫痪 。 

(3) 目前 网 络 服务 器 安装 的 操作 系统 有 Windows NT/Windows 2000 .UNIX 、Linux 
等 ,这 些 系统 安全 风险 级 别 不 同 , 例 如 Windows NT/Windows 2000 的 普遍 性 和 可 操作 
性 使 得 它 也 是 最 不 安全 的 系统 ;UNIX 由 于 其 技术 的 复杂 性 导致 高 级 黑客 对 其 进行 攻 
击 , 这 都 对 原 有 网 络 安全 构成 威胁 。 

(4) 随 着 校园 内 计算 机 应 用 的 大 范围 普及 , 接 入 校园 网 节点 日 渐 增多 ,而 这 些 节点 大 
部 分 都 没有 采取 一 定 的 防护 措施 ,随时 有 可 能 造成 病毒 泛滥 信息 丢失 数据 损坏 、 网 络 
被 攻击 、 系 统 瘫痪 等 严重 后 果 。 例 如 ,一 些 只 对 校园 内 部 用 户 开 放 的 服务 ,常常 被 设置 后 
门 。 比 较 典 型 的 例子 ,高 校 数字 图 书馆 通常 都 限定 只 对 内 部 IP 开放 ,然而 有 的 学 生 会 在 
校内 安置 代理 程序 , 供 外 部 人 员 访 问 ,造成 学 校 信息 的 泄露 。 

(5) 内 部 用 户 对 Internet 的 非法 访问 威胁 ,如 浏览 黄色 、 暴 力 、 反 动 等 网 站 ,以 及 由 于 
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下 载 文件 可 能 将 木马 .蠕虫 .病毒 等 程序 带 入 校园 内 网 。 内 外 网 恶意 用 户 可 能 利用 一 些 
工具 对 网 络 及 服务 器 发 起 DoS/DDoS 攻击 ,导致 网 络 及 服务 不 可 用 。 校 园 网 内 的 学 生 群 
体 是 主要 的 OICQ 用 户 , 目 前 针对 OICQ 的 黑客 程序 随处 可 见 。 

(6) 可 能 会 因为 校园 网 内 管理 人 员 以 及 全 体 师 生 的 安全 意识 不 强 .管理 制度 不 健全 ， 
带 来 校园 网 的 威胁 。 

根据 校园 网 的 结构 特点 及 面临 的 安全 隐患 ,确定 了 以 下 几 个 必须 考虑 的 安全 防护 要 
点 : 网 络 安 全 隔离 .网络 监控 措施 、 网 络 安 全 漏洞 .网络 病毒 的 防范 。 


2. 防火 墙 部 署 


在 Internet 与 校园 网 内 网 之 间 部 署 一 台 防 火 墙 ,成 为 内 外 网 之 间 一 道 牢固 的 安全 屏 
障 。 其 中 WWW 、MAIL、FTP、DNS 对 外 服务 器 连接 在 防火 墙 的 DMZ 区 ,与 内 、 外 网 间 
进行 隔离 ,内 网 口 连接 校园 网 内 网 交换 机 ,外 网 口 通过 路 由 器 与 Internet 连接 。 那 么 , 通 
过 Internet 进来 的 公众 用 户 只 能 访问 到 对 外 公开 的 一 些 服 务 ( 如 WWW、MAIL、FTP、 
DNS 等 ) , 既 保护 内 网 资源 不 被 外 部 非 授权 用 户 非法 访问 或 破坏 ,也 可 以 阻止 内 部 用 户 对 
外 部 不 良 资源 的 滥用 ,还 能 够 对 发 生 在 网 络 中 的 安全 事件 进行 跟踪 和 审计 。 在 防火 墙 设 
置 上 按照 以 下 原则 配置 来 提高 网 络 安全 性 。 

(1) 根据 校园 网 安全 策略 和 安全 目标 ,规划 设置 正确 的 安全 过 滤 规则 ,规则 审核 IP 
数据 包 的 内 容 包括 协议 .端口 ` 源 地 址 .目的 地 址 ,流向 等 项 目 ,严格 禁止 来 自 公 网 对 校园 
内 部 网 不 必要 的 ,非法 的 访问 。 总 体 上 遵从 “不 被 允许 的 服务 就 是 被 禁止 "的 原则 。 

(2) 将 防火 墙 配置 成 过 滤 掉 以 内 部 网 络 地 址 进入 路 由 器 的 IP 包 , 这 样 可 以 防范 源 地 
址 假冒 和 源 路 由 类 型 的 攻击 ;过 滤 掉 以 非法 IP 地 址 离开 内 部 网 络 的 IP 包 ,防止 内 部 网 络 
发 起 的 对 外 攻击 。 

(3) 在 防火 墙 上 建立 内 网 计算 机 的 IP 地 址 和 MAC 地址 的 对 应 表 , 防 止 IP 地 址 被 
盗用 。 

(4) 定期 查看 防火 墙 访问 日 志 , 及 时 发 现 攻 击 行为 和 不 良 上 网 记录 。 

(5) 允许 通过 配置 网 卡 对 防火 墙 设置 ,提高 防火 墙 管 理 安全 性 。 


3. 入 侵 检 测 系统 部 署 


入 侵 检 测 能 力 是 衡量 一 个 防御 体系 是 否 完整 有 效 的 重要 因素 ,强大 完整 的 人 侵 检测 
体系 可 以 弥补 防火 墙 相 对 静态 防御 的 不 足 。 根 据 学 校 网 络 的 特点 ,对 来 自 外 部 网 和 校园 
网 内 部 的 各 种 行为 进行 实时 检测 ,及 时 发 现 各 种 可 能 的 攻击 企图 ,并 采取 相应 的 措施 。 
有 具体 来 讲 ,就 是 将 人 侵 检测 引擎 接 入 核心 交换 机 上 。 人 入 侵 检 测 系统 集 入 侵 检 测 、 网 络 管 
理 和 网 络 监 视 功 能 于 一 身 ,能 实时 捕获 内 外 网 之 间 传 输 的 所 有 数据 ,利用 内 置 的 攻击 特 
征 库 , 使 用 模式 匹配 和 智能 分 析 的 方法 ,检测 网 络 上 发 生 的 入 侵 行 为 和 异常 现象 ,并 在 数 
据 库 中 记录 有 关 事 件 , 作 为 网 络 管理 员 事后 分 析 的 依据 。 如 果 情 况 严 重 , 入 侵 检测 系统 
可 以 发 出 实时 报警 ,使 得 学 校 管理 员 能 够 及 时 采取 应 对 措施 。 
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4. 漏洞 扫描 系统 


采用 目前 最 先进 的 漏洞 扫描 系统 定期 对 工作 站 、 服 务 器 、 交 换 机 等 进行 安全 检查 ,并 
根据 检查 结果 向 系统 管理 员 提 供 详细 可 靠 的 安全 性 分 析 报告 ,为 提高 网 络 安全 整体 水 平 
产生 重要 依据 。 


5. 病毒 防范 部 署 


在 该 网 络 防 病毒 方案 中 ,最 终 要 达到 一 个 目的 就 是 要 在 整个 局 域 网 内 杜绝 病毒 的 感 
染 、 传 播 和 发 作 。 为 了 实现 这 一 点 ,应 该 在 整个 网 络 内 可 能 感染 和 传播 病毒 的 地 方 采取 
相应 的 防 病毒 手段 。 同 时 为 了 有 效 、 快 捷 地 实施 和 管理 整个 网 络 的 防 病毒 体系 ,应 能 实 
现 远程 安装 .智能 升级 .远程 报警 .集中 管理 .分 步 查 杀 等 多 种 功能 。 

(1) 在 学 校 网 络 中 心安 装配 置 一 个 杀毒 软件 网 络 版 的 系统 中 心 , 负 责 管理 全 校 主机 
网 点 的 计算 机 ,同时 在 各 客户 计算 机 上 分 别 安装 杀毒 软件 网 络 版 的 客户 端 。 

(2) 安装 完 杀毒 软件 网 络 版 后 ,在 管理 员 控制 台 对 网 络 中 所 有 客户 端 进行 定时 查 杀 
毒 的 设置 ,保证 所 有 客户 端 即使 在 没有 联网 的 时 候 也 能 够 定时 进行 对 本 机 的 查 杀 。 

(3) 网 络 中 心 负责 整个 校园 网 的 升级 工作 。 为 了 安全 和 管理 的 方便 起 见 ,由 网 络 中 
心 的 系统 中 心 定期 地 、 自 动 地 到 杀毒 软件 公司 的 网 站 上 获取 最 新 的 升级 文件 (包括 病毒 
定义 码 ,扫描 引擎 .程序 文件 等 ) ,然后 自动 将 最 新 的 升级 文件 分 发 到 其 他 用 户 的 客户 端 
与 服务 器 端 ,并 自动 对 杀毒 软件 网 络 版 进行 更 新 。 采 取 这 种 升级 方式 ,一 方面 确保 校园 
网 内 的 杀毒 软件 的 更 新 保持 同步 ,使 整个 校园 网 都 具有 最 强 的 防 病毒 能 力 。 另 一 方面 由 
于 整个 网 络 的 升级 ,更 新 都 是 有 程序 来 自动 .智能 完成 ,就 可 以 避免 由 于 人 为 因素 造成 网 
络 中 因为 没有 及 时 升级 而 失去 最 强 的 防 病毒 能 力 。 


6. 安全 管理 


常言 说 :“ 三 分 技术 ,七 分 管理 ,安全 管理 是 保证 网 络 安全 的 基础 ,安全 技术 是 配合 
安全 管理 的 辅助 措施 。 要 建立 一 套 校园 网 络 安全 管理 模式 ,制定 详细 的 安全 管理 制度 ， 
如 机 房管 理 制度 .病毒 防范 制度 等 ,并 采取 切实 有 效 的 措施 保证 制度 的 执行 。 

校园 网 整体 安全 解决 方案 如 图 8-17 所 示 。 


832 大 型 企业 网 络 安全 解决 方案 


综合 考虑 大 型 企业 系统 的 现状 、 安 全 建设 目标 和 上 述 的 方案 设计 原则 ,大 型 企业 系 
统 的 安全 解决 方案 ,由 5 部 分 组 成 : 远程 接 入 安全 解决 方案 、 边 界 安全 解决 方案 、 内 网 安 
全 解决 方案 ,数据 中 心安 全 解决 方案 .全 局 安全 管理 解决 方案 。 

这 五 部 分 的 安全 解决 方案 衔接 在 一 起 构成 了 一 个 覆盖 大 型 企业 系统 网 络 * 端 到 端 信 
息 流程 的 “全 网 安全 解决 方案 ”, 是 一 个 内 容 全 面 ,可 分 步 实 施 ,可 持续 演进 的 解决 方案 集 。 


1. 远程 接 入 安全 解决 方案 
对 拥有 异地 分 支 的 大 型 企业 系统 来 说 ,为 提高 沟通 效率 和 资源 利用 效率 ,建立 分 支 
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图 8-17 ”高 等 学 校 网 络 安全 解决 方案 


与 总 部 之 间 的 具有 保密 性 的 网 络 连接 是 十 分 必要 的 。 此 外 ,大 型 企业 系统 的 工作 人 员 出 
差 时 也 需要 访问 系统 内 部 的 一 些 信息 资源 ,这 时 同样 需要 建立 保密 的 网 络 连接 。 虚 拟 专 
用 网 技术 以 其 灵活 、 安 全 、 经 济 . 易 扩 展 的 特点 ,满足 这 部 分 需求 。 

1) IPSec VPN 解决 方案 

IPSec 是 业界 标准 的 网 络 安全 协议 ,可 以 为 IP 网 络 通信 提供 加 密 服务 ,保护 TCP/IP 
通信 和 免 遭 窃听 和 算 改 ,从 而 有 效 抵御 网 络 攻击 。IPSec VPN 解决 方案 ,由 VPN 接 入 网 关 
和 VPN 管理 子 系统 两 个 部 分 组 成 。 

VPN 接 人 网 关 是 整个 VPN 系统 的 核心 部 分 。 它 支持 多 种 VPN 业务 ,如 L2TP 
VPN IPSec VPN GRE VPN、MPLS VPN 等 , 它 可 以 针对 客户 需求 通过 拨号 、 租 用 线 、 
VLAN 或 隧道 等 方式 接 人 远 端 用 户 ,构建 Internet、 Intranet、 Extranet 等 多 种 形式 
的 VPN。 

(1) IPSec VPN 解决 方案 的 特点 。 

Q@ 组 网 灵活 : 从 用 户 业 务 需求 .可靠 性 要 求 和 投资 规模 等 方面 综合 考虑 ,设计 了 多 
种 分 支 上 联 总 部 的 解决 方案 ,包括 单 链 路 单 网 关 、 单 链 路 双 网 关 和 双 链 路 双 网 关 。 

@ 管理 简单 : 采用 专门 的 管理 系统 ,其 图 形 化 的 管理 界面 使 维护 更 简单 。 支 持 自动 
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发 现 和 构建 VPN 拓扑 ,直观 查看 VPN 通道 状态 .通道 流量 情况 `VPN 设备 的 运行 情 
况 等 。 

@ 集中 配置 : 机 构 分 布 广 . 设 备 多 ,配置 重复 ,往往 给 设备 管理 带 来 繁重 的 工作 量 ， 
系统 采用 分 支 设 备 主动 .网 管 被 动 的 方式 对 分 支 的 设备 进行 管理 ,网 络 连接 由 分 支 设备 
主动 发 起 ,公私 网 地 址 转换 ,动态 IP 地 址 .批量 设备 配置 等 难题 迎刃而解 。 

(2) IPSec VPN 解决 方案 的 典型 组 网 。 

在 实际 的 组 网 中 ,可 以 根据 大 型 企业 系统 的 情况 ,采用 灵活 多 样 的 组 网 方式 ,用 最 低 
的 代价 满足 大 型 企业 系统 VPN 接 入 需求 。 

J@ 单 链 路 单 网 关 。 

该 组 网 方案 采用 单 链 路 单 网 关 方 式 , 在 总 部 局 域 网 数据 中 心 部 署 VPN 管理 组 件 , 实 
现 对 VPN 网 关 的 部 署 管理 和 监控 ,在 总 部 局 域 网 内 部 或 Internet 边界 部 署 管 理 系 统 , 实 
现 对 分 支 机 构 VPN 网 关 设备 的 自动 配置 和 策略 部 署 。 

该 方案 主要 面向 对 网 络 链 路 可 靠 性 要 求 不 高 的 情况 ,可 采用 IPSec VPN IPSec over 
GRE VPN、GRE over IPSec VPN 、L2TP over IPSec VPN 等 方式 实现 接 和 人 。 

@ 单 链 路 双 网 关 。 

该 组 网 方案 采用 单 链 路 双 网 关 方 式 , 对 VPN 网 关 进 行 了 双 机 备份 ,适用 于 对 可 靠 性 
要 求 较 高 的 情况 。 可 采用 L2TP、VRRP、OSPF 方式 实现 网 关 间 的 备份 。 

@ 双 链 路 双 网 关 。 

该 组 网 方案 在 VPN 网 关 备 份 的 基础 上 ,对 于 接 人 分支 节 点 的 链 路 也 进行 了 备份 。 
不 同 链 路 分 别 接 入 到 不 同 的 ISP( 电 信 、 网 通 ), 主 链 路 采用 光纤 接 人 ,备份 链 路 采用 
ADSL 进行 热 备 。 为 了 增强 VPN 网 关 的 稳定 性 ,在 VPN 网 关节 点 部 署 双 VPN 网 关 , 利 
用 该 VPN 双 网 关 可 以 有 效 地 提高 系统 的 可 靠 性 。 该 方案 主要 面向 特别 重要 、 对 可 靠 性 
要 求 非常 高 的 分 支 机 构 。 

2) SSL VPN 解决 方案 

IPSec VPN 帮助 大 型 企业 系统 解决 了 分 支 安全 接 人 总 部 的 问题 。 但 是 它 无 法 解决 
移动 办 公用 户 ( 出 差 人 员 ) 远 程 接 入 的 问题 ,SSL VPN 解决 方案 正好 满足 了 这 部 分 需求 ， 
而 且 SSL VPN 具有 细 粒 度 控制 、 免 客户 端 软件 安装 等 其 他 特点 。 

整个 解决 方案 基于 B/S 架构 ,客户 端 不 需要 安装 特殊 软件 ,通过 Web 浏览 器 直接 访 
问 SSL VPN 网 关 , 输 入 用 户 名 和 密码 即 可 安全 地 访问 企业 内 部 网 络 资源 。 

SSL VPN 解决 方案 特点 如 下 。 

(1) 接 人 灵活 : 采用 B/S 架构 ,直接 使 用 浏览 器 完成 VPN 接 入 。 当 员工 需要 进行 远 
程 接 入 时 ,其 移动 终端 不 需要 特别 配置 ,降低 了 维护 成 本 和 使 用 难度 。 

(2) 细 化 控制 : 能 够 根据 用 户 个 人 身份 和 主机 安全 状态 授予 其 不 同 的 访问 权限 。 在 
面向 合作 伙伴 时 ,也 可 以 根据 情况 ,灵活 地 授予 合作 伙伴 不 同 的 访问 权限 。 

(3) 个 性 化 界面 : 可 以 定制 个 性 化 的 用 户 界面 。 系 统管 理 员 能 够 调整 访问 界面 ,以 
符合 大 型 企业 系统 内 部 网 络 的 风格 ,包括 更 换 LOGO 和 定制 布局 等 。 
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2. 边界 安全 解决 方案 


随 着 大 型 企业 系统 网 络 上 IT 应 用 的 不 断 增加 以 及 网 络 中 设备 的 增加 ,网 络 边界 安 
全 成 为 最 重要 的 安全 问题 之 一 ,需要 组 合 型 的 安全 解决 方案 。 

1) 边界 安全 解决 方案 概述 

对 大 型 企业 系统 边界 进行 安全 防护 ,首先 必须 明确 哪些 网 络 边界 需要 防护 ,这 可 以 
通过 安全 分 区 来 确定 。 定 义 安全 分 区 的 原则 就 是 首先 根据 业务 和 信息 敏感 度 定义 安全 
资产 ,其 次 对 安全 资产 定义 安全 策略 和 安全 级 别 , 对 于 安全 策略 和 级 别 相同 的 安全 资产 ， 
就 可 以 认为 属于 同一 安全 区 域 。 根 据 以 上 原则 ,提出 大 型 企业 系统 的 安全 分 区 模型 , 主 
要 包括 内 网 办 公 区 数据 中 心 区 、 外 联 数据 区 、 互 联网 连接 区 、 对 外 连接 区 、 网 络 管理 区 、 
广域网 连接 区 等 。 

参照 以 上 的 分 区 ,考虑 到 当前 网 络 上 的 主要 威胁 ,以 防火 墙 ,入 侵 检 测 防 御 系 统 
(IDS IPS) 为 支撑 的 边界 安全 解决 方案 。 

(1) 防火 墙 : 最 主流 也 是 最 重要 的 安全 产品 ,是 边界 安全 解决 方案 的 核心 。 它 可 以 
对 整个 网 络 进行 区 域 分 割 ,提供 基于 IP 地址 和 TCP/IP 服务 端口 等 的 访问 控制 。 对 常见 
的 网 络 攻击 ,如 拒绝 服务 攻击 、 端 口 扫描 、IP 欺骗 .IP 盗用 等 进行 有 效 防护 。 并 提供 
NAT 地 址 转换 ,流量 限制 ,用户 认证 ,IP 与 MAC 绑 定 等 安全 增强 措施 。 由 于 防火 墙 部 
署 在 网 关 位 置 ,也 可 以 在 防火 墙 中 集成 防 病毒 模块 和 网 络 安全 监控 模块 。 

(2) 入 侵 防 御 : 传统 的 安全 解决 方案 中 .防火墙 和 入 侵 检测 系统 (intrusion detection 
system,IDS) 已 经 被 普遍 接受 ,但 仅仅 有 防火 墙 和 IDS 还 不 足以 完全 保护 网 络 不 受 攻击 。 
防火 墙 作 为 一 个 网 络 层 的 安全 设备 ,不 能 充分 地 分 析 应 用 层 协 议 数据 中 的 攻击 信号 ,而 
IDS 也 不 能 阻挡 检测 到 的 攻击 。 因 此 ,即使 在 网 络 中 已 部 署 了 防火 墙 .IDS 等 基础 网 络 安 
全 产品 ,IT 部 门 仍然 发 现 网 络 的 带宽 利用 率 居 高 不 下 ,应 用 系统 的 响应 速度 越 来 越 慢 。 
产生 这 个 问题 的 原因 并 不 是 当初 网 络 设计 不 周 . 而 是 近年 来 蠕虫 .P2P, 木 马 等 安全 威胁 
日 益 滋 长 并 演变 到 应 用 层面 的 结果 ,必须 有 相应 的 技术 手段 和 解决 方案 来 解决 针对 应 用 
层 的 安全 威胁 。 以 入 侵 防 御 系 统 (intrusion prevention system,IPS) 为 代表 的 应 用 层 安 
全 设备 ,作为 防火 墙 的 重要 补充 ,很 好 地 解决 了 应 用 层 防 御 的 问题 ,并 且 变 革 了 管理 员 构 
建 网 络 防 御 的 方式 。 通 过 在 线 部 署 ,IPS 可 以 检测 并 直接 阻 断 恶意 流量 。 

2) 边界 安全 解决 方案 的 典型 部 署 

在 大 型 企业 系统 互联 网 出 口 部 署 防火 墙 (集成 防 病毒 和 网 络 安全 监控 模块 ) 和 IPS 
设备 ,同时 通过 防火 墙 和 IPS 将 企业 内 部 网 .DMZ .数据 中 心 .互联 网 等 安全 区 域 分 隔 开 ， 
并 通过 制定 相应 的 安全 规则 ,以 实现 各 区 域 不 同 级 别 、 不 同 层次 的 安全 防护 。 

3) 边界 安全 解决 方案 特点 

(1) 全 面 防护 : 在 安全 区 域 规划 基础 上 ,在 网 络 边 界 部 署 防火 墙 \IPS 等 安全 设备 ,能 
够 实现 网 络 2 至 7 层 的 威胁 抵御 :形成 动态 .立体 的 全 面 安全 防护 。 

(2) 深层 防护 : 通过 防火 墙 和 IPS 的 部 署 ,可 以 形成 有 效 的 深层 次 安全 防护 ,如 对 蠕 
虫 的 传播 和 攻击 进行 防御 .对 P2P 应 用 禁止 和 限 流 .抵抗 DoS/DDoS 的 攻击 等 。 
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3. 内 网 安全 解决 方案 


统计 表明 ,在 所 有 的 安全 事件 中 ,有 超过 70% 蚌 发 生 在 内 网 上 的 ,并 且 随 着 网 络 的 庞 
大 化 和 复杂 化 ,这 一 比例 仍 有 增长 的 趋势 。 因 此 内 网 安全 一 直 是 网 络 安全 建设 关注 的 重 
点 ,但 是 由 于 内 网 以 纯 二 层 交 换 环境 为 主 、 节 点 数量 多 ,分 布 复杂 终端 用 户 安全 应 用 水 
平 参差 不 齐 等 原因 ,一 直 以 来 也 都 是 安全 建设 的 难点 。 

1) 内 网 安全 考虑 的 因素 

一 般 说 来 ,内 网 安全 应 该 考虑 以 下 问题 。 

(1) 终端 安全 策略 部 署 。 

终端 安全 是 内 网 安全 的 核心 问题 ,终端 安全 策略 的 部 署 也 就 是 内 网 安全 的 最 主要 部 
分 。 但 是 受 限于 终端 用 户 安全 应 用 水 平 ,如何 确 保 网 络 中 的 终端 安全 状态 符合 企业 安全 
策略 , 却 是 每 一 个 网 络 管理 员 不 得 不 面 对 的 挑战 。 管 理 员 查 找 、 隔 离 、 修 复 不 符合 安全 策 
略 的 终端 ,是 一 项 费时 费力 的 工作 ,往往 造成 企业 安全 策略 与 终端 安全 实施 之 间 存 在 巨 
大 的 差距 。 

(2) 内 网 访问 控制 部 署 。 

传统 上 ,在 内 网 是 通过 划分 VLAN ,配合 ACL 进行 访问 控制 ,这 虽然 可 以 在 一 定 程 
度 上 实现 内 网 访问 控制 , 却 难 以 做 到 比较 精细 的 安全 控制 ,同时 也 可 能 会 影响 到 VLAN 
间 用 户 的 访问 ,从 而 影响 网 络 的 使 用 效率 。 对 于 部 分 交换 机 ,ACL 数量 的 增加 会 导致 严 
重 的 性 能 下 降 。 如 何在 内 网 实现 更 精细 更 高 效率 的 访问 控制 是 内 网 安全 建设 必须 要 解 
决 的 问题 。 

(3) 网 络 自身 安全 保障 。 

目前 在 内 网 安全 事件 中 ,出现 从 攻击 主机 转 为 攻击 网 络 资源 的 趋势 ,而 传统 的 以 太 
网 交换 机 的 工作 原理 和 开放 特征 决定 其 难以 对 此 类 攻击 进行 有 效 防 控 。 

2) 内 网 安全 解决 方案 概述 

内 网 安全 解决 方案 考虑 到 内 网 安全 的 方方面面 ,针对 上 述 内 网 安全 的 主要 问题 都 提 
出 了 有 针对 性 的 技术 ,这 些 技术 相互 关联 、 相 互 配合 ,形成 完善 的 内 网 安全 解决 方案 。 

(1) 端点 准 入 防御 解决 终端 合 规 性 问题 。 

为 了 解决 现 有 安全 防御 体系 中 存在 的 不 足 , 建 立 端点 准 入 防御 , 旨 在 整合 孤立 的 单 
点 防御 系统 ,加 强 对 用 户 的 集中 管理 ,统一 实施 大 型 企业 系统 的 安全 策略 ,提高 网 络 终端 
的 主动 抵抗 能 力 。 

端点 准 入 防御 将 防 病 毒 、 补 丁 修复 等 终端 安全 措施 与 网 络 接 入 控制 ,访问 权限 控制 
等 网 络 安全 措施 整合 为 一 个 联动 的 安全 体系 ,通过 对 网 络 接 入 终端 的 检查 、 隔 离 , 修 复 、 
管理 和 监控 ,使 整个 网 络 变 被 动 防御 为 主动 防御 、 变 单 点 防御 为 全 面 防御 、 变 分 散 管理 为 
集中 策略 管理 ,提升 了 网 络 对 病毒 .蠕虫 等 新 兴安 全 威胁 的 整体 防御 能 力 。 

端点 准 入 防御 通过 安全 客户 端 安 全 策略 服务 器 、 接 入 设备 以 及 病毒 库 服务 器 、 补 丁 
服务 器 的 相互 配合 ,可 以 将 不 符合 安全 要 求 的 终端 限制 在 “隔离 区 ”内 ,防止 “危险 ?终端 
对 网 络 安全 的 损害 ,避免 “ 易 感 "终端 受 病毒 .蠕虫 的 攻击 。 其 主要 功能 包括 如 下 几 个 。 

Q@ 检查 用 户 终端 的 安全 状态 ,配合 不 同方 式 的 身份 验证 技术 ,可 以 确保 接 入 终端 的 
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合法 与 安全 。 

@ 隔离 违规 终端 。 不 符合 企业 安全 策略 的 终端 ,将 被 限制 访问 权限 ,只 能 访问 “隔离 
区 ”内 的 病毒 库 / 补 丁 服务 器 等 用 于 系统 修复 的 网 络 资源 。 

@ 与 第 三 方 服务 器 中 的 补丁 服务 器 、 病 毒 服务 器 等 形成 联动 ,强制 终端 安装 系统 补 
丁 \ 升 级 防 病 毒 软件 ,直到 满足 安全 策略 要 求 。 

@ 端点 准 入 防御 提供 了 集 接 人 策略 .安全 策略 .服务 策略 .安全 事件 监控 于 一 体 的 用 
户 管理 平台 ,可 以 帮助 网 络 管理 员 定 制 基于 用 户 身份 的 个 性 化 的 网 络 安全 策略 。 同 时 
端点 准 入 防御 可 以 通过 安全 策略 服务 器 与 安全 客户 端的 配合 ,强制 实施 终端 安全 配置 
(如 是 否 实时 检查 邮件 ,注册 表 、 是 否 限制 代理 ,是 否 限 制 双 网 卡 等 ), 监 控 用 户 终端 的 安 
全 事件 (如 查 杀 病毒 ,修改 安全 设置 等 )。 

此 外 ,端口 隔离 也 是 内 网 访问 控制 的 一 个 有 效 手 段 。 端 口 隔离 是 指 交换 机 可 以 由 硬 
件 实现 相同 VLAN 中 的 两 个 端口 互相 隔离 。 隔 离 后 这 两 个 端口 在 本 设备 内 不 能 实现 
二 三 层 互通 。 当 相同 VLAN 中 的 主机 之 间 没 有 互 访 要 求 时 ,可 以 设置 各 自 连接 的 端口 
为 隔离 端口 。 这 样 可 以 更 好 地 保证 相同 安全 区 域内 主机 之 间 的 安全 。 即 使 非法 用 户 利 
用 后 门 控制 了 其 中 一 台 主 机 ,也 无 法 利用 该 主机 作为 跳板 攻击 该 安全 区 域内 的 其 他 主 
机 。 并 且 可 以 有 效 地 隔离 蠕虫 病毒 的 传播 , 减 小 受 感染 主机 可 能 造成 的 危害 。 

(2) 交换 机 安全 特性 实现 网 络 自身 安全 保障 。 

以 太 网 在 设计 时 没有 考虑 安全 性 的 要 求 ,这 造成 了 以 太 网 自身 存在 很 多 的 安全 隐 
患 , 正 是 这 种 原因 ,目前 出 现 了 从 攻击 主机 向 攻击 网 络 资源 转变 的 趋势 。 

基于 在 以 太 网 安全 领域 积累 的 大 量 经 验 , 在 交换 机 中 提供 了 大 量 的 安全 特性 ,可 以 
充分 保障 以 太 网 的 安全 。 这 些 安全 特性 同时 也 是 内 网 安全 解决 方案 中 很 多 功能 实现 的 
基础 ,例如 在 端点 准 入 防御 解决 方案 中 就 使 用 到 了 接 人 交换 机 的 Port Security 特性 。 这 
些 安全 特性 包括 如 下 。 

。 接 和 人 控制 技术 一 一 Port Security; 

。 接 入 安全 技术 一 一 防 IP 伪装 ; 

。 防 中 间 人 攻击 一 一 STP Root / BPDU 保护 ; 

。 防 ARP 欺骗 ; 

。 防 STP 攻击 ; 

。 DHCP Server 保护 ; 

。 路 由 协议 攻击 防护 能 力 。 

3) 内 网 安全 解决 方案 特点 

(1) 内 网 统一 安全 策略 实施 : 本 方案 不 仅仅 可 以 在 网 络 设 备 上 实施 统一 的 安全 策 
略 , 还 可 以 实施 终端 安全 策略 ,以 达到 整个 内 网 安全 策略 统一 实施 的 目的 。 

(2) 可 扩展 的 安全 解决 方案 : 本 方案 是 一 个 可 扩展 的 安全 解决 方案 ,对 现 有 网 络 设 
备 和 组 网 方式 改造 较 小 。 在 现 有 大 型 企业 系统 网 络 中 ,只 需 对 网 络 设备 进行 简单 升级 ， 
即 可 实现 。 
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4. 数据 中 心安 全 解决 方案 


数据 集中 是 管理 集约 化 、 精 细 化 的 必然 要 求 ,也 是 大 型 企业 系统 优化 业务 流程 .管理 
流程 的 必要 手段 。 作 为 网 络 中 数据 交换 最 频繁 .资源 最 密集 的 地 方 ,大 型 企业 系统 的 数 
据 中 心 出 现任 何 安全 防护 上 的 朴 漏 必 将 导致 不 可 估量 的 损失 ,因此 数据 中 心安 全 解决 方 
案 十 分 重要 。 

1) 数据 中 心 面临 的 安全 威胁 分 析 

随 着 Internet 应 用 日 益 深化 ,数据 中 心 运行 环境 正 从 传统 的 客户 端 /服务 器 (C/S) 架 
构 向 浏览 器 /服务 器 (B/S) 架 构 转 型 ,这 意味 着 “ 瘦 客 户 端 , 胖 数 据 中 心 ”成 为 必然 的 发 展 
趋势 。 在 这 种 趋势 下 数据 中 心 的 业务 复杂 性 增加 ,而 这 种 复杂 性 也 为 数据 中 心 的 安全 体 
系 引 入 许多 不 确定 因素 ,一 些 未 实施 正确 安全 策略 的 数据 中 心 ,黑客 和 蠕虫 将 顺势 而 和 人。 

当前 数据 中 心 面 对 的 主要 安全 威胁 包括 。 

(1) 面向 应 用 层 的 攻击 。 

常见 的 应 用 攻击 包括 恶意 蠕虫 .病毒 .缓冲 溢出 代码 、 后 门 木 马 等 。 应 用 攻击 的 共同 
特点 是 利用 了 软件 系统 在 设计 上 的 缺陷 ,并 且 他 们 的 传播 都 基于 现 有 的 业务 端口 ,因此 
应 用 攻击 可 以 毫 不 费力 地 躲 过 那些 传统 的 或 者 具有 少许 深度 检测 功能 的 防火 墙 。 国 际 
计算 机 安全 协会 ICSA 实验 室 调 查 的 结果 显示 ,2005 年 病毒 攻击 范围 提高 了 39% ,重度 
被 感染 者 提高 了 18% ,造成 的 经 济 损失 提高 了 31%。 尤 为 引 人 注 意 的 是 , 跨 防火 墙 的 应 
用 层 (ISO 7 层 ) 攻 击 提高 了 278% ,即使 在 2004 年 ,这 一 数字 也 高 达 249%。 

(2) 面向 网 络 层 的 攻击 。 

除了 由 于 系统 漏洞 造成 的 应 用 攻击 外 ,数据 中 心 还 要 面 对 拒 绝 服务 攻击 (DoS) 和 分 
布 式 拒绝 服务 攻击 (DDoS) 的 挑战 。DoS/DDoS 是 一 种 传统 的 网 络 攻击 方式 ,然而 其 破 
坏 力 却 十 分 强劲 。 据 2004 年 美国 CS1/FBI 的 计算 机 犯罪 和 安全 调研 分 析 ,DoS 和 DDoS 
攻击 已 成 为 对 企业 损害 最 大 的 犯罪 行为 ,超出 其 他 各 种 犯罪 类 型 两 倍 。DoS/DDoS 攻击 
大 行 其 道 的 原因 主要 是 利用 了 TCP/IP 的 开放 性 原则 ,从 任意 源 地 址 向 任意 目标 地 址 都 
可 以 发 送 数 据 包 。DoS/DDoS 利用 看 似 合理 的 海量 服务 请 求 来 耗 尽 网 络 和 系统 的 资源 ， 
从 而 使 合法 用 户 无 法 得 到 服务 的 响应 。 

2) 数据 中 心安 全 建设 思路 

数据 中 心安 全 解决 方案 的 思路 可 用 十 二 个 字 概 括 : 三 重 保护 .多 层 防御 ;分 区 规划 ， 
分 层 部 署 。 

(1) 三 重 保护 ,多 层 防御 。 

从 “数据 中 心服 务 器 资源 ”向 外 延伸 有 三 重 保护 。 

Q@ 具有 丰富 安全 特性 的 交换 机 构成 数据 中 心 网 络 的 第 一 重 保护 。 

@ 具有 高 性 能 检测 引擎 的 IPS 对 网 络 报 文 做 深度 检测 ,构成 数据 中 心 网 络 的 第 二 重 
保护 。 

@ 凭借 高 性 能 硬件 防火 墙 构成 的 数据 中 心 网 络 边界 ,对 数据 中 心 网 络 做 第 三 重 
保护 。 

用 一 个 形象 的 比喻 来 说 明 数据 的 三 重 保护 : 数据 中 心 就 像 一 个 欣欣 向 荣 的 国家 ,来 
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往 的 商 客 就 像 访问 数据 中 心 的 报 文 ;防火 墙 是 驻守 在 国境 线 上 的 军队 ,一 方面 担负 着 守 
卫 国 土 防御 外 族 攻击 (DDoS) 的 重任 , 另 一 方面 负责 检查 来 往 商 客 的 身份 (访问 控制 ); 
IPS 是 国家 的 警察 ,随时 准备 捉拿 虽然 拥有 合法 身份 ,但 仍 在 从 事 违法 乱 纪 活动 的 商 客 
(蠕虫 病毒) ,以 保卫 社会 秩序 ;具有 各 种 安全 特性 的 交换 机 就 像 商铺 雇佣 的 保安 ,提供 
最 基本 的 安全 监管 ,时 刻 提防 由 内 部 人 员 造 成 的 破坏 (STP 攻击 )。 

三 重 保护 为 数据 中 心 网 络 提 供 了 从 链 路 层 到 应 用 层 的 多 层 防御 体系 。 交 换 机 提供 
的 安全 特性 构成 安全 数据 中 心 的 网 络 基础 ,提供 数据 链 路 层 的 攻击 防御 。 数 据 中 心 网 络 
边界 安全 定位 在 传输 层 与 网 络 层 的 安全 上 ,通过 状态 防火 墙 可 以 把 安全 信任 网 络 和 非 安 
全 网 络 进 行 隔离 ,并 提供 对 DDoS 和 多 种 畸形 报 文 攻击 的 防御 。IPS 可 以 针对 应 用 流量 
做 深度 分 析 与 检测 能 力 , 既 可 以 有 效 检测 并 实时 阻 断 隐藏 在 海量 网 络 流量 中 的 病毒 、 攻 
击 与 滥用 行为 ,也 可 以 对 分 布 在 网 络 中 的 各 种 流量 进行 有 效 管理 ,从 而 达到 对 网 络 应 用 
层 的 保护 。 

(2) 分 区 规划 ,分 层 部 署 。 

在 数据 中 心 网 络 中 存在 不 同 价值 和 易 受 攻击 程度 不 同 的 设备 ,按照 这 些 设备 的 情况 
制定 不 同 的 安全 策略 和 信任 模型 ,将 网 络 划 分 为 不 同 区 域 ,这 就 是 所 谓 的 分 区 思想 。 数 
据 中 心 网 络 根 据 不 同 的 信任 级 别 可 以 划分 为 : 远程 接 入 区 、 局 域 网 、Internet 服务 器 区 、 
Extranet 服务 器 区 、Intranet 服务 器 区 ,管理 区 .核心 区 。 


5. 全 局 安全 管理 解决 方案 


参与 了 大 量 网 络 安全 建设 实践 后 可 以 了 解 ,除了 在 信息 传输 流程 中 实施 安全 解决 方 
案 之 外 ,还 需要 进行 全 局 安全 管理 ,这 种 管理 涉及 到 网 络 上 的 设备 .使 用 者 以 及 业务 ,只 
有 对 这 三 者 实现 闭环 管理 ,才能 对 网 络 安全 状况 了 如 指 掌 。 因 此 ,大 型 企业 系统 建设 一 
个 “全 局 安全 管理 平台 ”是 必要 的 。 

对 于 网 络 系统 来 说 ,安全 入 侵 经 常 将 网 络 作 为 一 个 整体 而 不 仅 是 针对 某 一 个 子 系 
统 。 一 个 安全 攻击 事件 可 能 是 独立 的 ,也 可 能 是 一 个 较 大 规模 协同 攻击 的 一 部 分 。 对 于 
所 有 的 安全 检测 点 ,如 果 没 有 一 个 集中 的 分 析 视 角 ,可 能 低估 某 个 安全 攻击 的 真正 威胁 ， 
相应 采取 的 安全 措施 也 可 能 无 法 解决 真正 的 问题 。 因 此 ,对 系统 所 记录 和 存储 的 审计 数 
据 进 行 综合 分 析 及 处 理 至 关 重 要 。 这 些 审计 数据 可 能 来 自 防火 墙 路 由 器 、 入 侵 防 御 系 
统 、 主 机 系统 、 防 病毒 系统 和 桌面 安全 系统 。 对 上 述 审 计数 据 的 统一 和 集中 的 分 析 将 能 
帮助 更 好 地 管理 安全 事件 ,从 而 描绘 出 整个 系统 当前 安全 情况 的 更 清晰 和 准确 的 图 画 。 
同时 ,通过 集中 管理 ,一 个 企业 可 以 最 大 程度 地 减少 重复 工作 从 而 提高 安全 事件 管理 的 

1) 全 局 安全 管理 解决 方案 概述 

当前 ,大 型 企业 系统 安全 管理 中 遇 到 的 问题 包括 如 下 几 点 。 

(1) 对 实时 安全 信息 不 了 解 ,无 法 及 时 发 出 预警 报告 。 

(2) 各 种 安全 设备 是 孤立 的 ,无 法 相互 关联 ,信息 共享 。 

(3) 安全 事件 发 生 以 后 ,无 法 及 时 诊断 网 络 故障 的 原因 ,恢复 困难 。 

(4) 网 络 安全 专家 期 乏 , 没 有 足够 的 人 员 去 监控 、 分 析 、 解 决 问题 。 


Os 网 络 安全 系统 解决 方案 


全 局 安全 管理 平台 旨 在 集中 部 署 网 络 安全 防护 策略 ,简化 对 安全 部 件 的 管理 ,确保 
网 络 安全 策略 的 统一 。 广 泛 采集 与 分 析 来 自 于 计算 机 、 网 络 , 存 储 、 安 全 等 设施 的 告警 事 
件 ,通过 关联 来 自 于 不 同 地 点 、 不 同 层次 .不 同类 型 的 安全 事件 ,发 现 真 正 的 安全 风险 , 提 
高 安全 报警 的 信 噪 比 。 准 确 、 实 时 地 评估 当前 的 网 络 安全 态势 和 风险 ,并 根据 预先 制定 
的 策略 做 出 快速 响应 。 全 网 安全 管理 解决 原理 框架 如 图 8-18 所 示 。 


用 户 接 入 网 络 主机 网 络 传输 设备 安全 策略 服务 器 。 隔离 区 域 


用 户 信息 £3 下 网 络 访问 控制 


锐 捷 安 全 联动 设备 锐 捷 认 证 系统 
目 
RG-SA 入 安全 策略 下 发 、 恒 
锐 捷 安 全 客户 庙 RGSMP 一 
安全 管理 台 则 


_ 用 户 系统 自动 修复 (补丁 、 病毒 库 其 他 指定 修复 项 目 ) 


图 8-18 GSN( 整 体 安全 网 络 ) 工 作 原理 


2) 安全 策略 的 集中 部 署 

网 络 中 的 安全 部 件 涉及 身份 安全 、 终 端 安全 、 设 备 安全 、 连 接 安全 、 网 络 安 全 等 各 个 
层面 ,对 应 的 安全 防护 技术 包括 AAA 、 防 病毒 、 漏 洞 检测 、 防 火 墙 VPN、IPS 等 不 同 层次 
的 防御 部 件 。 集 中 部 署 各 部 件 的 安全 防护 策略 ,可 以 简化 对 安全 部 件 的 管理 ,确保 网 络 
安全 策略 的 统一 ,提高 安全 管理 工作 的 效率 。 全 局 安全 管理 平台 的 安全 策略 集中 部 署 提 
供 了 集成 .统一 、 完 整 的 安全 防护 策略 配置 功能 ,可 以 通过 直观 的 网 络 、 服 务 器 、 终 端 及 用 
户 拓 扑 图 ,查看 和 配置 安全 策略 。 

3) 安全 事件 的 深度 感知 

网 络 的 不 同 层次 .不同 节点 往往 都 部 署 了 相应 的 安全 部 件 ,分 别 起 到 不 同 层面 的 安全 
防御 作用 。 为 了 实时 ,全 面 地 获取 网 络 安全 信息 ,必须 解决 网 络 安全 管理 中 的 事件 透明 性 
问题 ,让 管理 员 可 以 监控 到 网 络 中 每 个 设备 的 运行 状态 ,为 网 络 安全 分 析 与 决策 提供 支持 。 
全 局 安全 管理 平台 可 以 收集 来 自 不 同 部 件 的 安全 事件 数据 ,如 异常 登录 事件 .异常 操作 事 
件 ` 漏 洞 检测 事件 .系统 资源 异常 占用 事件 流量 异常 事件 等 ,帮助 管理 员 及 时 掌握 网 络 中 设 
备 和 终端 的 安全 状态 ,为 进一步 的 深入 分 析 和 决策 莫 定 准确 的 数据 基础 。 

4) 安全 事件 的 关联 分 析 

网 络 中 的 各 种 安全 部 件 产 生 的 众多 安全 事件 ,往往 使 管理 员 浴 没 于 信息 的 海洋 中 。 
各 安全 部 件 本 身 的 局 限 性 造成 的 误 报 和 漏 报 ,容易 导致 真正 的 攻击 被 忽视 。 全 局 安全 管 
理 平 台 在 全 面 采 集 安全 事件 的 基础 上 ,通过 各 种 基于 统计 和 规则 的 关联 分 析 算 法 ,结合 
安全 事件 产生 的 网 络 环境 ,资产 重要 程度 .系统 漏洞 级 别 , 对 安全 事件 进行 深度 分 析 , 可 
以 有 效 提高 安全 事件 的 信 噪 比 ,减少 告警 日 志 数 量 而 不 丢失 重要 信息 ,为 安全 事件 审计 
和 风险 响应 提供 更 准确 的 决策 支持 。 
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5) 安全 威胁 的 协同 响应 

对 安全 事件 进行 全 面 采集 和 关联 分 析 的 目的 是 准确 地 阻 断 和 防止 攻击 。 全 局 安全 
管理 平台 在 全 面 了 解 网 络 资源 部 署 的 条 件 下 .可 以 根据 攻击 源 的 不 同 ,智能 选择 控制 点 
以 更 有 效 地 防止 攻击 。 例 如 对 于 外 部 攻击 选择 在 防火 墙 的 ACL 阻 断 、 对 内 部 攻击 选择 
用 户 接 入 交换 机 的 端口 关闭 、 对 于 内 部 蠕虫 爆发 选择 隔离 攻击 源 。 也 可 以 针对 不 同 的 被 
攻击 对 象 ,区 分 响应 方式 ,以 提高 整个 网 络 的 自 防御 能 力 ,例如 对 于 用 户 终端 可 以 强制 进 
行 补丁 修复 和 病毒 库 升 级 ,对 于 服务 器 资源 可 以 动态 更 新 安全 配置 。 

高 效 的 安全 解决 方案 不 仅仅 在 于 当 安 全 事件 发 生 时 ,能 够 迅速 察觉 .准确 定位 ,更 重 
要 的 是 能 够 及 时 制定 合理 的 一致 的 .完备 的 安全 策略 ,并 最 大 限度 地 利用 现 有 网 络 安全 
资源 ,通过 智能 分 析 和 协同 响应 及 时 应 对 各 种 真正 的 网 络 攻击 。 全 局 安全 管理 解决 方案 
为 实现 这 一 目标 而 构建 了 开放 的 、 可 持续 演进 的 安全 管理 平台 ,通过 对 防护 、 检 测 和 响应 
等 不 同 生 命 周 期 的 各 个 安全 环节 进行 基于 策略 的 管理 ,将 各 种 异 构 的 安全 设备 网络 设 
备 、 用 户 终 端 和 管理 员 有 机 的 连接 起 来 ,构成 了 一 个 智能 的 、 联 动 的 闭环 响应 体系 ,可 在 
保护 现 有 网 络 基 础 设施 投资 的 基础 上 有 效应 对 新 的 安全 威胁 、 大 幅 提升 对 大 型 企业 系统 
业务 的 安全 保障 。 

大 型 企业 网 络 安全 整体 解决 方案 如 图 8-19 所 示 。 


局 本 s6810E 
sy 


8-19 ”大 型 企业 网 络 安全 解决 方案 


833 银行 业务 系统 安全 体系 
与 早期 的 集中 式 应 用 不 同 的 是 ,现在 的 银行 业务 系统 大 多 基于 客户 机 /服务 器 模式 


第 9 章 网 络 安全 有 系统 解决 方案 
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和 Internet/Intranet 网 络 计算 模式 的 分 布 式 应 用 。 在 这 样 的 环境 中 ,企业 的 数据 库 服务 
器 .电子 邮件 服务 器 、WWW 服务 器 、 文 件 服务 器 、 应 用 服务 器 等 都 是 供用 户 出 入 的 “ 门 
户 ”, 只 要 有 一 个 “门户 ”没有 完全 保护 好 , “黑客” 就 会 通过 这 道门 进入 系统 ,窃取 或 破坏 
所 有 资源 。 绝 对 安全 与 可 靠 的 信息 系统 并 不 存在 ,一 个 所 谓 的 安全 系统 实际 上 应 该 是 
“使 人 侵 者 花费 不 可 接受 的 时 间 与 金钱 ,并 且 承 受 很 高 的 风险 才能 间 和 人”。 安 全 是 个 过 程 
而 不 是 目的 ,安全 的 努力 依赖 于 许多 因素 ,例如 职员 的 调整 .新 业务 应 用 的 实施 、 新 攻击 
技术 与 工具 的 导入 和 安全 漏洞 评估 。 银 行业 务 系统 的 安全 分 为 网 络 安全 、 系 统 安 全 、 用 
户 安全 、 应 用 与 服务 安全 、 数 据 安全 5 个 部 分 。 银 行业 务 系统 的 安全 体系 如 图 8-20 所 示 。 
网 络 安全 ”| 访问 控制 | | 入 侵 检测 ] | 安全 通信 

系统 安全 。 [病毒 防范 | [入 侵 检测 | | 访问 控制 | | 风险 评估 ] [安全 审计 

用 户 安全 [身份 认证 | [ 统一 认证 | [账户 管理 

应 用 与 服务 安全 | 访问 控制 | | ”授权 “| | 口令 控制 

数据 安全 | 保密 性 | | 完整 性 

图 8-20 银行 业务 系统 的 安全 体系 


其 中 网 络 安全 包括 查 明 任何 非法 访问 或 偶然 访问 的 入侵 者 ,保证 只 有 授权 许可 的 通 
信 才 可 以 在 客户 机 和 服务 器 之 间 建 立 连接 ,而 且 正 在 传输 中 的 数据 不 能 被 读 取 和 改变 。 
系统 安全 包括 控制 访问 服务 器 ,防止 病毒 的 侵入 ,检测 有 意 或 偶然 间 入 系统 的 不 速 之 窜 。 
风险 评估 被 用 来 检查 系统 安全 配置 的 缺陷 ,发 现 安全 漏洞 。 政 策 审 查 则 用 来 监视 系统 是 
否 严格 执行 了 规定 的 安全 政策 。 用 户 安全 是 管理 用 户 账户 ,在 用 户 获 得 访问 特权 时 设置 
用 户 功能 ,或 在 他 们 的 访问 特权 不 再 有 效 时 ,限制 用 户 账户 。 身 份 验 证 用 来 确保 用 户 的 
登录 身份 与 其 真实 身份 相符 ,并 对 其 提供 单 点 注册 ,以 解决 多 个 密码 的 问题 。 应 用 与 服 
务 安全 是 指 对 应 用 程序 和 服务 的 密码 和 授权 的 管理 ,大 多 数 应 用 程序 和 服务 都 是 靠 密码 
保护 的 ,加 强 密码 变化 是 安全 方案 中 必 不 可 少 的 手段 ,而 授权 则 是 用 来 规定 用 户 对 系统 
的 访问 权限 。 数 据 安全 是 保持 数据 的 保密 性 和 完整 胜 ,保证 非法 或 好 奇 者 无 法 阅读 它 。 
数据 完整 性 是 指 防止 非法 或 偶然 的 数据 改动 现代 计算 机 网 络 系统 的 安全 隐患 隐藏 在 系 
统 的 各 个 角落 。 所 以 对 系统 安全 管理 应 该 是 多 层次 、 多 方面 的 ,要 从 网 络 、 操 作 系 统 、 应 
用 各 个 方面 提高 系统 的 安全 级 别 , 还 要 把 原来 由 使 用 人 员 维 护 的 安全 规则 让 计算 机 系统 
自动 实现 ,以 加 强 系统 的 总 体 安全 性 。 对 系统 安全 的 管理 和 维护 需要 各 种 层次 的 安全 专 
家 才能 完成 。 因 此 ,对 系统 安全 的 管理 应 该 由 70% 的 规则 和 方法 加 30% 的 产品 和 技术 
组 成 。 这 些 规 则 和 方法 包括 风险 评估 、 安 全 策略 .强大 的 审计 手段 等 。 另 外 ,IT 系统 的 结 
构 变 化 .应 用 系统 的 变化 都 会 导致 安全 策略 的 变化 ,因此 上 述 过 程 不 是 静态 的 ,而 是 周 而 
复 始 的 过 程 ,该 过 程 在 维护 系统 安全 的 活动 中 一 直 存 在 。 

本 章 从 整体 安全 的 角度 出 发 ,完整 地 论述 了 网 络 安全 系统 的 框架 、 网 络 安 全 系统 设 
计 的 基本 原则 以 及 基本 方法 ,并 在 对 典型 行业 所 面 对 的 网 络 安全 问题 ,系统 地 分 析 了 解 
决 思路 ,给 出 了 较为 完整 成 熟 的 解决 方案 。 同 时 ,针对 无 线 网 络 的 特殊 性 ,在 论述 了 无 线 
网 络 工作 原理 的 基础 上 ,阐述 了 无 线 网 络 由 于 工作 机 理 造成 的 网 络 安全 的 特殊 问题 , 单 
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独 提出 了 无 线 网 络 安全 解决 方案 。 


1. 填空 题 


(1) 网 络 安全 风险 有 五 个 层次 , 即 和 
(2) 网 络 安全 管理 的 目标 主要 包括 5 和 


6 个 方面 。 


(3) 制定 网 络 安全 策略 的 总 体 原则 是 8 和 具体 应 考虑 
和 


(4) 网 络 安全 的 特征 应 具有 保密 性 、 、 和 4 个 方面 的 


2. 问答 题 


(1) 为 什么 人 为 因素 是 影响 网 络 安全 的 最 主要 因素 ? 

(2) 无 线 网 络 主要 有 哪些 安全 威胁 ? 

(3) WEP 主要 有 哪些 安全 漏洞 ? 

(4) 从 网 络 管理 员 的 角度 , 简 述 企 事业 单位 内 部 网 络 应 采取 的 各 种 安全 策略 。 
(5) 目前 网 络 安全 解决 方案 有 哪些 ? 


~ 
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